米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は9月21日(現地時間)、「Apple Releases Security Updates for Multiple Products|CISA」において、AppleがiOSやiPadOSを含む複数の製品に対して多数の脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。

修正された脆弱性の内容は製品によって異なるが、アップデートを適用せずに放置しておくと、任意のコード実行や機密情報の読み取り、認証の回避、サービス拒否妨害(DoS)などの被害を受けるおそれがあるという。

今回リリースされた製品およびバージョンは以下の通り。

iOS 15 および iPadOS 15
watchOS 8
tvOS 15
Xcode 13
Safari 15
iTunes for Windows 12.12

これらのアップデートで修正された脆弱性に関する情報は、それぞれ次のセキュリティアドバイザリにまとめられている。

About the security content of iOS 15 and iPadOS 15 - Apple サポート (日本)
About the security content of watchOS 8 - Apple サポート (日本)
About the security content of tvOS 15 - Apple サポート (日本)
About the security content of Xcode 13 - Apple サポート (日本)
About the security content of Safari 15 - Apple サポート (日本)
About the security content of iTunes 12.12 for Windows - Apple サポート (日本)

iOS 15およびiPad OS 15ではカーネルやアクセサリーマネージャー、WebKitなどにおける19件の脆弱性が、watchOS 8とtvOS 15ではそれぞれ11件の脆弱性が修正されている。また、Safari 15ではWebKitに関連した4件の脆弱性が修正されているが、これらの修正はiOS/iPadOSやwatchOS、tvOSにも含まれる。Xcode 13では内蔵されるnginxがバージョン1.21.0にアップデートされたことに伴って複数の脆弱性が解消されている。iTunesではImageIOとWebKitに関する2件の脆弱性が修正された。

今回のリリースは、iTunes以外はメジャーバージョンアップであり新機能に注目が集まりがちだが、前述の通り多数の脆弱性に関する修正も含まれているため、その修正内容にも注意する必要がある。