iOS|iPadOS 14.4.2配信開始。積極的に悪用された可能性ある脆弱性を修正

アップルは27日、iOS 14.4.2およびiPadOS 14.4.2を配信開始しました。前回のiOS 14.4.1から約20日後のアップデートとなり、今回も重要なセキュリティアップデートが含まれているとして全ユーザーに推奨されています。

届いていれば通知から、あるいは「設定-一般 - ソフトウェア・アップデート」から確認して手動でアップデートできます。

アップルの公式サポートドキュメントによれば、今回の更新はWebkit（iOSやiPadOS向けブラウザのレンダリングエンジン）の脆弱性を修正したとのことです。以下、アップルによる説明です。

iPhone 6s以降、iPad Pro(すべてのモデル)、iPad Air 2以降、iPad第5世代以降、iPad mini 4以降、iPod touch(第7世代)で利用可能

影響:悪意を持って作成された Web コンテンツを処理すると、ユニバーサルクロスサイトスクリプティングが発生する可能性があります。Appleは、この問題が積極的に悪用された可能性があるという報告を認識しています。

説明:この問題は、オブジェクトの有効期間の管理を改善することで解決されました。

CVE-2021-1879: Google脅威分析グループのクレメント・レシニーとGoogle脅威分析グループのビリー・レナード

ユニバーサルクロスサイトスクリプティング（UXSS）とは、任意のドメイン上で任意のスクリプト実行が可能になる脆弱性のこと。攻撃者が不正に細工したURLを踏ませることで、正規サイトの認証情報を取得したり表示を改変したり、他のサイトに誘導するフィッシングなどに悪用されます。

またiOS 14がサポートされていない古いデバイス向けの、iOS 12.5.2も配信開始されています。こちらも同じ脆弱性が修正されており、 iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, and iPod touch (第6世代）が対象となっています。

次期iOS 14.5では「Face ID対応iPhoneをマスクしたままロック解除」や、異なるWebサイトやアプリをまたいでユーザーを追跡する際には明示的な許可を求めるアプリトラッキング透明性の実装も予告され、パブリックベータ版などでテスト中です。4月には公式配信が始まると予想されていますが、同時に（コード内から手がかりが見つかった）失せ物追跡タグAirTags(仮)や次期iPad Proも発表されるのかもしれません。