Apple のすべてのオペレーティング システム (macOS、iOS、iPadOS、watchOS、tvOS) が本当に同じコードに基づいているのか疑問に思ったことがあるなら、今日のアップデートでそれが真実であることがわかるはずです。
Appleは、macOS Catalina追加アップデート(1.2GB)、iOS 13.5.1(77.7MB)、iPadOS 13.5.1(284.8MB)、watchOS 6.2.6(48MB)、tvOS 13.4.6に加え、High Sierra向けのセキュリティアップデート2020-03の更新版と思われるものをリリースしました。これらのリリースで唯一記載されている変更点は、「このアップデートは重要なセキュリティアップデートを提供しており、すべてのユーザーに推奨されます」という内容です。上記のリンク先のセキュリティ情報ページには、「メモリ処理を改善することでメモリ消費の問題が解決されました」と記載されており、この修正はCVE-2020-9859に対応していることが明記されています。この脆弱性の詳細はまだ公表されていませんが、「アプリケーションがカーネル権限で任意のコードを実行できる可能性がある」という以上の情報が明らかになるかもしれません。
この脆弱性は厄介なものだと私たちは考えています。アプリにカーネル権限でコードを実行させるようなことは、懸念すべき事態です。キーロガーのインストールからユーザーの密かな記録、ローカルストレージの完全消去まで、デバイス上で何でもできてしまう可能性があります。また、この脆弱性は比較的簡単に悪用される可能性があり、そうなると数億人のAppleユーザーが危険にさらされる可能性があります。
9to5Macは、Appleがセキュリティノートで脱獄ツール開発元unc0verをクレジットしていることから、これらのリリースはiOS 13.5搭載デバイスの新たな脱獄ツールで利用された脆弱性に対処するためのものだと示唆しています。unc0verが脱獄ツールに利用した脆弱性をなぜ報告したのかは不明ですが、AppleのすべてのOSに影響を与える脆弱性があまりにも危険だったのかもしれません。
奇妙なことに、macOS 10.14 Mojaveのセキュリティアップデート2020-03は、macOSのセキュリティノートに記載されていませんでした。このバグはHigh SierraとCatalinaには影響する可能性があるのに、中間段階にあるMojaveには影響しないというのは奇妙に思えます。Mojaveのアップデートはまだリリースされていないか、AppleがMojaveに導入した修正が何らかの理由で元に戻ってしまったのかもしれません。
Apple が一度にすべてのオペレーティング システムをアップデートするのは不便ではあるものの、特にストレスの多い時期にすべてを中断してこのバグを修正した同社の姿勢は称賛に値する。
アップデートに関しては慎重なアプローチを推奨していますが、今回の脆弱性の深刻度とAppleのすべてのOSへの適用可能性を考慮すると、できるだけ早くアップデートすることが最も安全な対策です。アップデート方法についておさらいしたい場合は、以下をご覧ください。
- macOS:システム環境設定 > ソフトウェアアップデート
- iOSおよびiPadOS:設定 > 一般 > ソフトウェアアップデート
- watchOS: Watchアプリ > 一般 > ソフトウェアアップデート
- tvOS:設定 > システム > ソフトウェアアップデート > ソフトウェアアップデート