セキュリティ

SECURITY

公開：2024-11-22

AppleがiOS 18.1.1とiPadOS 18.1.1を公開し、JavaScriptCoreとWebKitの重大な脆弱性に対処

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AppleがiOS 18.1.1とiPadOS 18.1.1を提供開始
• JavaScriptCoreとWebKitの脆弱性を修正
• Intel CPU搭載Macで悪用の可能性あり

iOS 18.1.1とiPadOS 18.1.1のセキュリティアップデート提供開始

Appleは2024年11月19日にiOS 18.1.1およびiPadOS 18.1.1の提供を開始し、JavaScriptCoreとWebKitにおける2つの重大なセキュリティ脆弱性の修正を実施した。この更新プログラムはiPhone XS以降とiPad Pro 13インチ/12.9インチの第3世代以降などの対象デバイスに展開されている。^[1]

JavaScriptCoreの脆弱性（CVE-2024-44308）は、細工されたWebコンテンツを処理した際に任意のコード実行が可能となる深刻な問題であることが判明した。WebKitの脆弱性（CVE-2024-44309）では、クロスサイトスクリプト攻撃のリスクが存在していたのである。

両脆弱性はGoogle Threat Analysis GroupのClement LecigneとBenoit Sevensによって報告され、Intel CPU搭載Macシステムですでに悪用されている可能性があることが指摘されている。Appleはセキュリティ強化のため、JavaScriptCoreではチェック機能を改善し、WebKitではクッキー管理の状態管理を向上させた対策を講じたのだ。

iOS 18.1.1とiPadOS 18.1.1の修正内容まとめ

クロスサイトスクリプト攻撃について

クロスサイトスクリプト攻撃とは、Webアプリケーションの脆弱性を悪用して、ユーザーのブラウザ上で悪意のあるスクリプトを実行させる攻撃手法のことを指す。主な特徴として以下のような点が挙げられる。

• Webサイトに悪意のあるスクリプトを注入し実行
• ユーザーの個人情報やセッション情報を窃取
• 偽装されたコンテンツをユーザーに表示

今回のiOS 18.1.1およびiPadOS 18.1.1で修正されたWebKitの脆弱性は、クッキー管理の問題に起因するクロスサイトスクリプト攻撃の可能性が指摘されていた。Appleは状態管理を改善することで、攻撃者がユーザーのブラウザ上で悪意のあるスクリプトを実行するリスクを軽減したのである。

iOS 18.1.1とiPadOS 18.1.1のアップデートに関する考察

今回のセキュリティアップデートは、実際に悪用の可能性が確認された重大な脆弱性に対する迅速な対応という点で評価できる。特にGoogle Threat Analysis Groupによる報告を受けての対応は、セキュリティ研究者との協力関係の重要性を示している。

今後はWebKitやJavaScriptCoreの実装において、より厳密なバリデーションやサニタイズ処理の導入が求められるだろう。特にクロスサイトスクリプト攻撃は新たな手法が次々と発見されるため、継続的なセキュリティ監査と迅速なパッチ適用の体制強化が不可欠である。

Appleのセキュリティ対応は、ユーザーデータの保護を最優先する姿勢を示している。今後は脆弱性の発見から修正までの時間短縮や、パッチ適用の自動化など、さらなるセキュリティ体制の強化が期待される。

参考サイト

1. ^ Apple. 「About the security content of iOS 18.1.1 and iPadOS 18.1.1 - Apple Support」. https://support.apple.com/en-us/121752, (参照 24-11-22).
2. Apple. https://www.apple.com/jp/
3. Intel. https://www.intel.co.jp/content/www/jp/ja/homepage.html
4. Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧