Apple、iOS 12.4で脱獄対策の脆弱性パッチを入れ忘れる

比較的更新頻度の高いiOS、新機能などももちろんですが基本的には脆弱性や不具合の修正を入れるための更新が多く、ユーザーは常に最新のものをインストールする事が推奨されています。

しかし今回、以前のバージョンで対応された脆弱性について最新版であるiOS 12.4で対応した内容を入れ忘れる、という異例の事態が発生している事が明らかになりました。

追記:2019/08/28 :無事修正されました。

→iOS12.4.1で脱獄可能だった脆弱性が無事修正、そしてAppleは脱獄系ハッカーに感謝

脱獄を可能にしてしまう

iOS 12.3では、リリース以前に確認されていた致命的な脆弱性の対応、俗に言うパッチが含まれていました。

この脆弱性は、iOSのセキュリティを強固なものとしている「サンドボックス」という領域をスルーしてシステムに干渉できるというもので、例えばスパイウェアを仕込んだり外部から脱獄させたりできるとんでもない代物でした。

当然Appleはコレを致命的な脆弱性として早急に対応し、iOS 12.3にアップデートする事でこれらの悪意ある攻撃からiPhoneを守れるようにします。

ところが最近になって、iOS 12.3で対応されたはずのこの脆弱性がiOS 12.4で復活しており、AppleがiOS 12.3で導入したパッチを入れ忘れている事が明らかになりました。

「アップデートするとむしろ危険になる」というこのアップデートは現在最新のアップデートであり、その性質上1つ前の12.3.2に簡単に戻すことはできません。

関係者らはAppleがすでにこの問題を把握しており、次のアップデートにはこの脆弱性のパッチが含まれているだろうと話しているものの、記事執筆時点（8月20日15時頃）ではアップデートは公開されておらず、依然としてユーザーは危険に晒されている状態です。

なぜAppleが以前に完了しているはずのセキュリティパッチを入れ忘れるなんて間抜けな事件を発生させたのかは謎ですが、すでに複数のセキュリティ関係者がiOS 12.4での脱獄を成功させたと報告もしています。

普段から気をつけるべきではあるのですが、Appleが新しいiOSアップデートをリリースするまでは特に怪しいサイトなどにはアクセスしない事をオススメします。

まとめ

どういったフローでアップデートが制作されているかは不明ですが、過去に作られたセキュリティパッチが抜けるというのはIT業界的にも類をみない珍事と言えます。

今の所Appleからも公式な声明などは発表されていませんが、ユーザー的には一刻も早いアップデートのリリースを願わずにはいられませんね。

iOS12.4の関連記事

【iOS12.4.1の変更点】アップデートしたらどうなった？不具合や新機能をチェック

【朗報】iOS12.4でバッテリーの”持ち時間”が大きく改善する

iOS 13まで対応されない？iOS 12.4で対応不可のバグが発見された模様