通常の読者は、Apple のセキュリティ パッチに対する私たちの態度について XNUMX つのことを知っているでしょう。
- できるだけ早く入手したいと考えています。 多数のセキュリティ修正を含む完全なバージョン アップグレードであろうと、新しい機能を追加するのではなく、バグにパッチを当てることを主な目的とするポイント リリース (一番左のバージョン番号が変更されていないもの) であろうと、私たちはむしろ間違いを犯したいと考えています。既知のセキュリティ修正を適用するという側面は、攻撃者がまだ悪用する方法を知らなくても、攻撃者が現在認識している穴をデバイスに残すよりも.
- それにもかかわらず、私たちは Apple の速報が紛らわしいと感じることが非常に多い。 たとえば、今回は更新されなかったバージョンで立ち往生している場合、自分がどこにいるのかまったくわかりません。
出てきたAppleの最新のセキュリティ速報 今週初めに、会社が時々あまりにも少なすぎることで混乱を増しているように見えることを例証しているようです.
緊急混乱
過去数日間に読者から寄せられた問い合わせやコメントに基づいて、次のような混乱が生じました。
- iOS 16.1 および iPadOS 16 と呼ばれる更新プログラムが XNUMX つのセキュリティ速報に記載されているのはなぜですか? iPadOS 16 が遅れていたことはわかっていますが、この最近の更新は、iPadOS が 16 か月以上前にリリースされた iOS 16.1 と同じセキュリティ レベルにしかパッチが適用されていなかったことを意味し、iOS は XNUMX に進化しました。サイバーセキュリティ用語で XNUMX 週間ずれていますか?
- iPadOS 16 が最終的にバージョン 16.1 と報告されたのはなぜですか? (iPad の更新プロセスのスクリーンショットを撮って送信してくれたベルギーの Stefaan に感謝します。) 更新後、
About画面には、セキュリティ速報のように iPadOS 16 と表示されているようですが、iPadOS Version画面には明示的に16.1と表示されています。 iPhone と iPad はどちらも「16 として知られるバージョン ファミリー」をサポートするだけでなく、最新のセキュリティ修正も適用されているようです。そしてAbout画面? - macOS 10 Catalina はどこに行きましたか? 伝統的に、Apple はバージョン X が登場すると macOS バージョン X-3 のサポートを終了します。 ?
- iOS/iPadOS 15.7.1 はどうなりましたか? iOS16のとき 出てきた 2022 年 15.7 月には、以前のバージョン ファミリも重要な更新を受け、バージョン XNUMX になりました。 これには、 カーネルレベルのゼロデイホール これは、多くの場合、「誰かが iPhone にスパイウェアを忍び込ませている」と解釈されます。 したがって、iOS 16.1が含まれていることを考えると さらにもう一つの カーネルのゼロデイ修正、おそらくさらに多くのスパイウェアによって悪用されている道を塞いでいます.iOS/iPadOS 15 ファミリに対応するパッチはどこにありましたか?
私たちが言ったように 昨日のポッドキャスト、懸念している読者からの上記の XNUMX 番目の質問に直面したとき、私たちの短い答えは単純でした。
場合によっては、オペレーティング システム バージョン X のセキュリティ バグがバージョン X-1 に適用されないことがあります。たとえば、新しいリリースでのみ追加された、または危険にさらされただけのコードにバグが存在するためです。
しかし、Apple が他の XNUMX つの理由で以前のバージョンのアップデートを作成しないことも見てきました。[a] アップデートが本当に必要であるが、準備とテストが間に合わないことが判明したため、または [b] という理由です。以前のバージョンは現在サポート対象外と見なされており、必要かどうかにかかわらず、更新を取得する予定はありませんでした.
そして、Apple のセキュリティ速報は、ほとんどの場合、現在利用可能なパッチについてのみ伝えているため、更新プログラムの欠落は、説明のつかない (そして説明のつかない) 謎のままです。
速報の爆発
さて、今朝、Apple から 15 通のセキュリティ速報メールを大量に受け取りました。そのほとんどは、週の初めに既に目にした速報で報告された CVE 番号の付いたバグやセキュリティ問題の多くをリストしていました。
上記の最初の 16 つの質問を直接明確にしたものはありませんでした。 アップグレード バージョン ファミリー 16 へのアップグレード、および update 新しい iOS 16.1 のセキュリティ修正と同等です。
しかし、Apple からの最新の一斉射撃の最初の速報は、iOS/iPadOS 15.7.1 を発表することで、上記の最後の質問を解決しました。 重要な修正:
APPLE-SA-2022-10-27-1: iOS 15.7.1 および iPadOS 15.7.1 iOS 15.7.1 および iPadOS 15.7.1 では、次の問題が解決されています。 セキュリティ コンテンツに関する情報は、https://support.apple.com/HT213490 でも入手できます。 [。 . .] カーネル 対象となるデバイス: iPhone 6s 以降、iPad Pro (全モデル)、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、および iPod touch (第 7 世代)カーネル権限で任意のコードを実行する。 Apple は、この問題が積極的に悪用された可能性があるという報告を認識しています。 説明:境界チェックを改善することで、境界外書き込みの問題に対処しました。 CVE-2022-42827: 匿名の研究者
そのため、iOS/iPadOS 15 は引き続きサポートされます。もしあなたが弾丸を噛んで iOS 16.1 (または分裂的に名付けられた iPadOS 16-それも 16.1) にアップグレードしなかった場合は、週の初めに…
…そして、あなたはあなたがあなたを確認する必要があります iOS/iPadOS 15.7.1 を今すぐ入手これは、iOS 2022 で修正された CVE-42827-16.1 カーネルのゼロデイ ホールが、iOS/iPadOS 15.7 に存在し、悪用が活発に行われているためです。
言い換えれば、これは、数日前に更新が行われなかった理由が、ほぼ間違いなく単純にパッチの準備が間に合わなかったというケースの XNUMX つです。
何をするか?
TL;DR iPhone または iPad ユーザーの場合: まだ iOS/iPadOS メジャー バージョン 15 を使用している場合は、 設定 > > セキュリティアップデート 直ちに。
自動更新がオンになっているかどうかを確認し、まだダウンロードしていない場合はダウンロードを承認するだけでなく、デバイスをインストール段階で強制的に実行することも忘れないでください。もちろん、スマートフォンやタブレットをしばらくオフラインにしてください)。
TL;DR あなたが Apple なら: 特に、重要な更新が以前のバージョンのユーザーにとって翼であることがわかっている場合、またはバージョンが影響を受けていないために更新が必要ないことがわかっている場合は、セキュリティ速報でもう少し明確にすることが大いに役立ちます.
ところで、今週初めに iOS/iPadOS 16.1 に先に進むことにした場合は、安全のために…
…Apple がダウングレードを許可していないため、iOS/iPadOS 15.7.1 に戻すことはできません。
(ダウングレードはジェイルブレイクを促進しますが、これは Apple が阻止しようとしているものであり、いずれにせよ、個人情報を盗み出すための悪意のある「自分のバグを持ち込む」セキュリティ バイパスとしてダウングレードが使用されるのを防ぐために、最初に完全なデータ ワイプが必要になります。)
