
iOS 12.5.5 リリース、古い iOS デバイスのゼロデイ脆弱性を修正 22
ストーリー by headless
修正 部門より
修正 部門より
Apple は 23 日、古い iOS デバイス向けに iOS 12.5.5 をリリースした (HT212824、 9to5Mac の記事、 Mac Rumors の記事)。
対象となるのは iPhone 5s / 6 / 6 Plus / iPad Air / iPad mini 2 / 3 / iPod Touch (第6世代)。3 件のゼロデイ脆弱性が修正されており、全ての該当デバイスユーザーにアップデートが推奨される。
iOS 12.5.5 で修正されたのは、任意コード実行が可能となる CoreGraphics の脆弱性 (CVE-2021-30860) と WebKit の脆弱性 (CVE-2021-30858)、カーネル権限で任意コード実行が可能となる XNU の脆弱性(CVE-2021-30869)の 3 件だ。CVE-2021-30860 と CVE-2021-30858 はアクティブな攻撃が確認されており、CVE-2021-30869 はエクスプロイトの存在が確認されているとのこと。
CVE-2021-30860 と CVE-2021-30858 は新しいバージョンの Apple 製品にも存在し、9 月 13 日リリースの iOS 14.8 / iPadOS 14.8 / macOS Big Sur 11.6 / セキュリティアップデート 2021-005 Catalina / watchOS 7.6.2 / Safari 14.1.2 で修正されている。また、CVE-2021-30869 は セキュリティアップデート 2021-006 Catalina でも修正されている。
iPhone 5s / iPad Air / iPad mini 2 は 2013 年発売だが、これらのデバイスをサポートする iOS 12 のアップデートは今年に入って 5 件目となる。
対象となるのは iPhone 5s / 6 / 6 Plus / iPad Air / iPad mini 2 / 3 / iPod Touch (第6世代)。3 件のゼロデイ脆弱性が修正されており、全ての該当デバイスユーザーにアップデートが推奨される。
iOS 12.5.5 で修正されたのは、任意コード実行が可能となる CoreGraphics の脆弱性 (CVE-2021-30860) と WebKit の脆弱性 (CVE-2021-30858)、カーネル権限で任意コード実行が可能となる XNU の脆弱性(CVE-2021-30869)の 3 件だ。CVE-2021-30860 と CVE-2021-30858 はアクティブな攻撃が確認されており、CVE-2021-30869 はエクスプロイトの存在が確認されているとのこと。
CVE-2021-30860 と CVE-2021-30858 は新しいバージョンの Apple 製品にも存在し、9 月 13 日リリースの iOS 14.8 / iPadOS 14.8 / macOS Big Sur 11.6 / セキュリティアップデート 2021-005 Catalina / watchOS 7.6.2 / Safari 14.1.2 で修正されている。また、CVE-2021-30869 は セキュリティアップデート 2021-006 Catalina でも修正されている。
iPhone 5s / iPad Air / iPad mini 2 は 2013 年発売だが、これらのデバイスをサポートする iOS 12 のアップデートは今年に入って 5 件目となる。
私は教徒ではないが (スコア:5, すばらしい洞察)
これは素直に褒めて良いのでは?
Re:私は教徒ではないが (スコア:1)
これは素直に褒めて良いのでは?
ええ当方も業務以外ではApple製品は使わない質ですが
スマホを人にすすめるならiPhone一択だと思います。
iPhone並のパッチ提供期間をAndroidで実現できるのは現状では
Bootloader Unlockして自前でアップデート適用させる逸般人にしか不可能ですし
一般人はiPhone
Androidは免許制で逸般人のみ可
くらいにしたほうがいいんじゃないかと思うくらい
素晴らしい対応だと思いますね
/*
iPhone5sが対象機種ですが
バッテリ膨張によるハマグリでタッチパネルが逝き
起動はできても全身不随状態
ソフトのケアは素晴らしいんですがハード構造はなんともはや
*/
Re: (スコア:0)
> パッチ提供期間
ということは、パソコンを人に勧めるならWindows一択なんですね。
Re: (スコア:0)
その通り。macOSは長くても3年でセキュリティアップデートがなくなるからね…。
別視点でサードパーティからすると動作検証範囲を絞れるし、リリース後メンテもせず放置する開発者が淘汰されていくので、存外ありがたい側面もある。
Re: (スコア:0)
動作範囲を絞ってサポート対象を限定するのは開発者の自由だし、更新放置されたサポート対象外となったソフトを使うのは利用者の自己責任だよね。
それらを縛ってありがたいと思えるのはOS売ってる側の人くらいだと思うのだが。
Re: (スコア:0)
ドイツで7年サポートしろとか言う話が出てきましたが、iPhoneならすでに実現してますからね。
Windowsの(延長込みで)10年サポートに並ぶかどうか見物ですが、さすがにそこまでは行かないかな。
Re: (スコア:0)
日本でも家電製品の補修部品保有義務がだいたい5~10年。
白物家電では後継部品も互換性を持たせるので、それを超えても修理可能。
ソフトウェアだけ規制されていなかったのが異質。
むしろセキュリティホールに関しては欠陥なのでリコール扱いすべきだと思うんだが。
Re: (スコア:0)
ソフトウェアはPL法の対象外なので、そういう事なのかなあと思ったら「欠陥あるソフトを搭載したハードウェア」に関しては責任が発生するみたいだ。
未だにスマートフォンのOS更新をすぐ打ち切るソニーに突き付けてやりたい。だから私はXperia(を使わなくなった)
Re: (スコア:0)
パッチの提供期間という基準だけで人に勧めるかどうかを判断するのは良くないんじゃないか。
Re:私は教徒ではないが (スコア:3, おもしろおかしい)
大丈夫。勧めるのはApple製品の場合だけです。
いくらパッチ提供期間が長くてもWindowsは勧めません。
Re:私は教徒ではないが (スコア:1)
Appleを勧めることに疑問を持つ発言にはマイナスモデ。当然ですね。
Re: (スコア:0)
その基準は重要だろう。
早ければ1年も持たずにサポート打ち切られた挙げ句に意識高い系セキュリティヲタクに「使うな」とか
言われる製品なんて、他人に薦めたら極悪人だぞ。
Re: (スコア:0)
iPhone 5sは、修理サポート対象です。
https://support.apple.com/ja-jp/HT201624#iphonevintage [apple.com]
ハードウェアのサポートを提供してるから、セキュリティアップデートも提供しているんじゃない?
Re: (スコア:0)
ひょっとして集団ストーカーに悩まされていませんか?
Re: (スコア:0)
アップルを避けるためには中共に全ての端末情報を引き渡すことを選んだ愚か者だもの
Re:私は教徒ではないが (スコア:1)
iOSも15がでたけど15に上げたくない人のために14でもセキュリティアップデートを続けるみたいですしね。
Re: (スコア:0, 興味深い)
囲い込まれたくないし、icloudとか使いたくないんでApple製品は一つも持ってないですが、こういう対応は素晴らしいですね。
Androidも、せめてNexusとかPixelとかは同等のサポートをしてくれれば、と思います。
#国産スマホなんてもう売りがないんだから、こういうところをしっかりやってみるというのはどうなのかね
#まあiPhoneくらい大量に売れないと無理か
Re: (スコア:0)
最近Appleがやらかしたストーリーが目についたから
修正リリースだけで持ち上げようとしてる
Re: (スコア:0)
悪人しかいない世界でたまに当たり前のことをすると聖人のように称えられる現象。
スマホには第3の勢力が必要だったな(ユーザーがそれを望まなかった結果が今だけど)
Re: (スコア:0)
自分はiPhone6から更新するタイミングを逃しちゃってました。OSのセキュリティアップデート無くなればさすがに買い換えるんだけど。
もっとも、アプリの方が続々対応外になってきてるので、実用するのが難しくなってきてます。
例えばAmazonアプリが数日前からCS11エラーで一部使えない。概ねiOS15のタイミングなので対応外になったのかなと思える。
ユニクロアプリなどは会員番号のバーコードしか表示できない縮退モードになってしまった。
RAMが1GBしかないのでタスク切り替えると裏でアプリ落ちてることが頻発で毎回起動から走るのでえらい遅い。
というわけで、それなりにスマホ使う場合はもう限界超えた感じ。
指紋認証無いの嫌なので中古品買いました…。来年の新型に期待だ。
Re: (スコア:0)
指紋認証が必要ならiPhone SE (2020)も候補になるのでは?
まあiPhone6のちゅうことだと価格も結構違うでしょうが。