Apple、iOS 12.4.1配信 脱獄可能な脆弱性を修正
2019年8月28日 08:49
8月26日(米時間)、Appleが最新のアップデートとなる「iOS 12.4.1」をリリースした。このバージョンは、ロックを解除して自由にアプリをインストール出来る“脱獄”が可能な脆弱性の修正パッチ(CVE-2019-8605)が、1件が含まれている。iPhoneやiPadなどのApple端末を持っている人は、早急にアップデートを行うことをおすすめする。
【こちらも】うっかり入れ忘れ!? iOS 12.4で脱獄可能な脆弱性
今秋にリリースが噂されている大型アップデート「iOS 13」の配信前に、なぜこのタイミングでリリースすることになったのだろうか。8月22日に公開された「iOS 12.4」には、これまできちんと対応できていた脆弱性の修正パッチが含まれていなかったことが発覚。iOS端末のセキュリティ性が大きく低下し、問題となっていた。
そのため、Appleが近日中に脆弱性を修正したマイナーアップデートが配信される可能性が高いとみられていた。
Appleサポートによると、このマイナーアップデートが無事に配信できたのは、2人のプロフェッショナルのおかげだそうだ。
1人は、Googleセキュリティチーム「Project Zero」のエンジニアであるNed Williamson氏。「Use After Free」の脆弱性を利用し、遠隔で不正なコードを実行できる致命的なバグを発見した立役者だ。Williamson氏による指摘のおかげで、iOS 12.3ではこの脆弱性は修正されていた。自身のTwitterでも、iOS 12.4.1で再びこの修正パッチが適用されたことに、憤りつつも安堵している様子が伺えた。
もう1人が、Twitter上で「@Pwn20wnd」と名乗るセキュリティ研究者。Williamson氏の指摘に基づき、「GitHub」上で脱獄できるツールを公開していた人物だ。サポートページの締めでは、@Pwn20wnd氏への御礼を述べている。わざわざ名前を出したということは、このツールによる脱獄も対策済みとみられる。
今回のAppleのミスによる騒動はひとまず幕引きとなった。今後このようなことが2度とおこらないよう、Appleには慎重に対応してもらいたい。(記事:森野沙織・記事一覧を見る)