米Appleは9月23日(現地時間、以下同)、「iOS 12.5.5」を正式リリースした。「iOS 13」以降にアップグレードできない古いデバイス向けのアップデートだが、重要なセキュリティアップデートが含まれており、すべてのユーザーに適用が推奨されている。
今回のアップデートで修正された問題は、CVE番号ベースで3件。いずれもすでに悪用事例が報告されているゼロデイ脆弱性で、早急な対策が必要だ。
CVE-2021-30860 :「CoreGraphics」における整数オーバーフロー。細工が施されたPDFファイルを処理すると任意のコードが実行される可能性がある
CVE-2021-30858 :「WebKit」における解放後メモリ利用(use after free)。悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される可能性がある
CVE-2021-30869 :「XNU」における型混乱。悪意のあるアプリケーションがカーネル権限を持つ任意のコードを実行できる可能性がある
「iOS 12.5.5」はiPhone 5s、6/6 Plus、iPad Air、iPad mini 2/3および第6世代のiPod touchに対応しており、現在[設定]アプリの[一般]-[ソフトウェアアップデート]画面から無償でアップデートできる。
なお、「CoreGraphics」と「WebKit」の欠陥は「iOS 14」「iPadOS 14」にも影響するが、すでに修正済みだ。