iPadOS  17.7.3のセキュリティコンテンツについて

iPadOS 17.7.3のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

iPadOS 17.7.3

FontParser

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：悪意を持って作成されたフォントを処理すると、プロセスメモリが漏洩する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54486：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

ImageIO

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54500：Trend Micro Zero Day Initiativeに協力するJunsung Lee氏

Kernel

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：攻撃者が、読み取り専用のメモリマッピングを書き込み可能なものに改ざんできる可能性がある。

説明：検証を追加することで、競合状態に対処しました。

CVE-2024-54494：sohybbyk氏

Kernel

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：アプリが重要なカーネル状態を漏洩させる可能性がある。

説明：ロック処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2024-54510：MIT CSAILのJoseph Ravichandran氏（@0xjprx）

Kernel

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-44245：匿名の研究者

libarchive

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：悪意を持って作成されたファイルを処理すると、サービス運用妨害を受ける可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-44201：Ben Roeder氏

libexpat

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：リモートの攻撃者により、アプリを突然終了されたり、任意のコードを実行されたりする可能性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。

CVE-2024-45490

libxpc

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：アプリに昇格した権限を取得される可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-44225：风沐云烟氏（@binary_fmyy）

Passwords

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：ネットワーク上で特権的な地位を利用した攻撃者に、ネットワークトラフィックを改ざんされる可能性がある。

説明：ネットワークで情報を送信する際はHTTPSを利用することで、この問題に対処しました。

CVE-2024-54492：Mysk Inc.（@mysk_co）のTalal Haj Bakry氏およびTommy Mysk氏

Safari

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：プライベートリレーが有効になっているデバイスでSafariリーディングリストにWebサイトを追加すると、発信元IPアドレスがWebサイトに漏洩する可能性がある。

説明：Safariからのリクエストのルーティングを強化することで、この問題に対処しました。

CVE-2024-44246：Jacob Braun氏

SceneKit

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：悪意を持って作成されたファイルを処理すると、サービス運用妨害を受ける可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54501：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

VoiceOver

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：iPadOSデバイスに物理的にアクセスできる攻撃者がロック画面で通知の内容を表示できる可能性がある。

説明：追加ロジックを追加することで、この問題に対処しました。

CVE-2024-54485：C-DAC Thiruvananthapuram（インド）のAbhay Kailasia氏（@abhay_kailasia）

WebKit

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54479：Seunghyun Lee氏

WebKit

対象：iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

影響：悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。

説明：メモリ処理を強化し、型の取り違え（type confusion）の脆弱性に対処しました。

CVE-2024-54505：Gary Kwong氏

ご協力いただいたその他の方々

Proximity

ジョージ・メイソン大学のJunming C.氏（@Chapoly1305）およびQiang Zeng教授のご協力に感謝いたします。