Safari が攻撃を受けています。今すぐ iPhone と Mac をアップデートしてください

Web ブラウザーは複雑なアプリケーションであり、悪意のある Web ページがサンドボックスから抜け出さないようにするには、常にパッチを適用する必要があります。 Apple は現在、重大なセキュリティの脆弱性に対処する Safari の修正を展開しています。

Apple は現在、iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1、およびいくつかのセキュリティ問題に対処する他のプラットフォームのアップデートを展開しています。 iPhone、iPad、および Mac のアップデートにはすべて、Safari のエンジン (WebKit) とオペレーティング システム カーネルの修正が含まれていますが、macOS のアップデートには、ショートカットのセキュリティ修正が追加されています。

WebKit エンジンの更新により、特定の JavaScript ライブラリ (jsonwebtoken) を不適切に使用すると、ホスト デバイスでリモート コードが実行される可能性があるというバグが修正されます。 Apple は、「この問題が積極的に悪用された可能性があるという報告を認識している」と述べており、これは一部の Web ページで使用されている可能性があることを意味します。当初は CVE-2022-23529 という ID で報告されていましたが、National Vulnerability Database がソフトウェアの脆弱性として分類していないため、正式に取り下げられました。

iOS と iPadOS の更新により、アプリがカーネル レベルの権限で任意のコードを実行できるバグも修正されました。このバグは、Pangu Lab の Xinru Chi と Google Project Zero の Ned Williamson によって発見されました。 macOS のアップデートは、アプリがショートカットを介して「保護されていないユーザー データを監視」することを可能にする追加の脆弱性に対処していますが、これは明らかに他のプラットフォームには影響しません。

iPhone、iPad、Mac をできるだけ早く更新して、最新のセキュリティ パッチを適用することをお勧めします。 Apple はまた、Ventura にまだアップデートされていない (または最新リリースを実行するには古すぎる) コンピュータのために、macOS Big Sur および macOS Monterey に Safari 16.3.1 を展開しています。 Safari 自体を使用していない場合でも脆弱です。iPhone および iPad のすべての Web ブラウザーは Safari の WebKit エンジンを使用し、多くの Mac アプリは組み込みのレンダリング エンジンを使用して Web コンテンツを表示します。

ソース: GitHub、Apple (iOS、macOS、Safari)