So-net無料ブログ作成

アップル、深刻な脆弱性を修正したmacOSの最新版などを公開 [update]

 アップルは7日、深刻な脆弱性を修正した「macOS High Sierra 10.13.2」と「セキュリティアップデート2017-002 Sierra」、「セキュリティアップデート2017-005 El Capitan」、「Safari 11.0.2」、「iTunes for Windows 12.7.2」を公開した。

 最新版へのアップデートは、Macは自動更新や通知をクリックするか、手動で「App Store」を確認する。Appleメニューから[App Store]を選択し、ツールバーの[アップデート]ボタンをクリックすると、利用可能なアップデートが表示される。

 iPhoneやiPadなどのiOS端末は、[設定]アイコンから[一般]→[ソフトウェア・アップデート]と進むか、端末をパソコンに接続し、iTunes経由で行う。
 Windows用のソフトウェアは、iTunesやiCloudと一緒にインストールされている「Apple Software Update」で行う。

■macOS High Sierra 10.13.2、セキュリティアップデート2017-002 Sierra、セキュリティアップデート2017-005 El Capitan

 Mac用OSの最新版「macOS High Sierra 10.13.2」では、CVEベースで22件(同梱のSafariを除く)の脆弱性が修正されている。修正された脆弱性には、マルウェア(ウイルス)感染に悪用されるおそれのあるコード実行の脆弱性などの、深刻な問題が含まれている。

 macOS Sierra(v10.12.6)用の「セキュリティアップデート2017-002」では、macOS High Sierra 10.13.2と共通の脆弱性14件が、OS X El Capitan(v10.11.6)用の「セキュリティアップデート2017-005」では、同13件が修正されており、これらにも深刻な問題の修正が含まれている。

 今回のアップデートでは、11月30日に緊急公開されたパスワードなしで管理者アカウントが利用できる問題の修正も含まれている。これは、macOS High Sierra用の「セキュリティアップデート 2017-001」として公開されたが、新たにダウンロードしたv10.13.1にはこのセキュリティコンテンツが含まれておらず、また、セキュリティアップデートに再起動手順が含まれていなかったため、適用後にユーザーが手動で再起動を行わないと反映されないという問題もあった。10.13.2では、これらの問題は生じない。

 なお、Yosemite(v10.10.5)以前のOS Xについては、更新される見込みがないので、セキュリティアップデートが提供される上位版にアップグレードするか、使用を中止することをお勧めする

<関連URL:アップル>
・About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan
https://support.apple.com/ja-jp/HT208331


■Safari 11.0.2、iTunes 12.7.2

 macOS High Sierraに同梱されているWebブラウザSafariの最新版「11.0.2」が、macOS SierraとEl Capitan用に提供されている。iPhoneなどのiOS端末と連携するメディア管理・再生ソフトの「iTunes」の最新版「12.7.2」がMacとWindows用に提供されている。これらアップデートの詳細については、現時点ではまだ公開されておらず、後日追記される予定だ。

 これらに共通する問題として、「WebKit」の深刻な脆弱性の修正が考えられる。WebKitは、Webページを描画するレンダリングエンジンのこと。脆弱性が悪用されると、細工されたWebページを閲覧するだけで、マルウェアに感染してしまうおそれがあるので、早急にアップデートしていただきたい。

■iOS 11.2

 Mac用OSのアップデートに伴い、今月3日から公開しているモバイル端末用OSの最新版「iOS 11.2」のセキュリティコンテンツが公開された。

 現在公開されているのは、macOS High Sierra 10.13.2と共通の問題10件と、iOS固有の問題4件の計14件。マルウェア(ウイルス)感染に悪用されるおそれのあるコード実行の脆弱性などの、深刻な問題が含まれている。アップデートの対象となるのは、iPhone 5s以降、iPad mini 2以降、iPod touch第6世代以降。

 なお、今回のアップデートでは、KRACK(Key Reinstallation Attacks)と呼ばれている無線LAN(Wi-Fi)の脆弱性(関連記事参照)のひとつ、グループ鍵を再インストールしてしまう問題(CVE-2017-13080)の修正も含まれている。この脆弱性は、iOS 11.1でiPhone 7以降とiPad Pro(9.7-inch early 2016)以降に対処していたが、今回の修正で他のiPhoneやiPadも対応した。

(2017/12/07 セキュリティ通信)

<関連URL:アップル>
・About the security content of iOS 11.2
https://support.apple.com/ja-jp/HT208334