tvOS17.5のセキュリティアップデート、コード実行やデータ流出のリスクに対処、WebKitの脆弱性も修正

text: XEXEQ編集部

tvOS 17.5に関する記事の要約
tvOSの新バージョンでユーザーデータ流出の可能性を指摘
WebKitの脆弱性を修正しPointer認証のバイパスを阻止
考察
参考サイト

tvOS 17.5に関する記事の要約

tvOS 17.5にてセキュリティアップデートを実施
Appleデバイスのセキュリティ強化に取り組む
複数の脆弱性に対処し、ユーザーデータの保護を徹底
WebKitの改善によりPointer Authenticationのバイパス防止

tvOSの新バージョンでユーザーデータ流出の可能性を指摘

Appleは2024年5月13日、tvOS 17.5をリリースした。このアップデートにはユーザーデータへの不正アクセスを防ぐためのセキュリティ修正が含まれており、リモートからのコード実行や機密情報の流出を引き起こす恐れのある脆弱性に対処したとのことだ。^[1]

影響を受けるのはApple TV HDとApple TV 4Kの全モデルで、tvOS 17.5へのアップデートが推奨されている。修正された脆弱性の一つは、Appのバグによりカーネルレベルでコードが実行されてしまう可能性があったという。悪用された場合、端末が乗っ取られる深刻なリスクがあった。

また、Mapsアプリに存在した脆弱性では、位置情報などのプライバシーデータが流出する可能性も指摘されていた。今回の修正により、パス処理のロジックが改善され、データが適切に保護されるようになったとのことだ。ユーザーはtvOS 17.5へのアップデートを行い、セキュリティリスクを回避することが求められる。

WebKitの脆弱性を修正しPointer認証のバイパスを阻止

tvOS 17.5では、WebKitコンポーネントの脆弱性にも対処が行われた。任意のメモリ読み書きが可能となる欠陥を突かれると、Pointer Authentication機構をバイパスされてしまう恐れがあったという。この問題はWebKit Bugzilla上で「272750」とされ、修正が施された。

Pointer Authenticationは、メモリ破壊攻撃からプログラムを守るためのARMアーキテクチャの機能だ。関数ポインタに署名を付与し、改ざんを検知することでコード実行を防ぐ。今回の脆弱性は、その保護をかいくぐる可能性があったわけだ。

Trend Micro's Zero Day Initiativeに所属するManfred Paul氏の発見により、この問題が明らかになった。AppleはtvOS 17.5で必要な修正を行い、PointerAuthenticationの回避を阻止したとのことだ。WebKitエンジンを搭載する製品は多岐にわたるため、ユーザーは速やかなアップデートが重要とされる。

考察

tvOS 17.5のセキュリティアップデートは、スマートTV市場におけるAppleの地位を揺るがしかねない重大な脆弱性に対処したと言えるだろう。リモートからのコード実行やユーザーデータの流出は、端末やサービスへの信頼を大きく損ねる事態につながりかねない。それだけにAppleのセキュリティ体制の在り方が改めて問われることになるのではないか。

今後は脆弱性の早期発見と速やかな修正対応に加え、開発プロセスにおけるセキュリティ検証の強化が求められるだろう。機密データを扱うアプリケーションについては、特に入念なチェックが欠かせない。またソースコードの監査だけでなく、サードパーティ製ライブラリやオープンソースコンポーネントのリスク管理にも目を光らせる必要がある。

さらに、エコシステム全体でセキュリティ意識を高めていくことも重要だ。アプリ開発者向けのガイドラインやベストプラクティスを整備し、機密情報の適切な取り扱いを徹底させるべきだろう。加えて、脆弱性報告制度の拡充やセキュリティ研究者とのコミュニケーション強化も有効な施策となり得るだろう。