Appleは、DarkSwordエクスプロイトとして知られる重大なウェブベースの脅威からユーザーを保護するために、iOS 18.7.7およびiPadOS 18.7.7のロールアウトを公式に拡大しました。
元々2026年3月24日にリリースされたこのアップデートは、4月1日に自動更新を通じてより多くのデバイスに積極的にプッシュされ、広範な即座の保護を確保しました。
DarkSword脅威
DarkSwordエクスプロイトの基本的な修正は最初に2025年に配信されましたが、この最新のアップデートは、サポートされているすべてのデバイスに必須のウェブ攻撃保護をもたらします。
DarkSwordは悪意のあるウェブコンテンツに依存してシステムを侵害するため、すべてのアクティブユーザーがこれらの最新のセキュリティ定義を持つことを確保することが重要です。
このアップデートは幅広いハードウェア範囲をカバーしており、iPhone XRと同じくらい古いデバイスから最新のiPhone 16ラインアップ、および複数世代のiPadsをサポートしています。
パッチされた重大な脆弱性
DarkSword保護を超えて、iOS 18.7.7は15を超える重大なセキュリティ欠陥に対処しています。
これらのパッチは、脅威アクターが機密データへのアクセス、ユーザーの行動の追跡、または不正なコード実行を許可する可能性のある重大なギャップを閉じます。
このリリースで対処されている最も深刻な脆弱性の内訳は以下の通りです。
| コンポーネント | CVE識別子 | 影響 | 説明 |
|---|---|---|---|
| カーネル | CVE-2026-20687 | システムクラッシュまたは不正なカーネルメモリ書き込み。 | 深刻なuse-after-freeメモリ問題を解決しました。 |
| WebKit | CVE-2026-20643 | ウェブ攻撃を介したSame Origin Policyの回避。 | Navigation APIのクロスオリジンロジック問題を修正しました。 |
| セキュリティ | CVE-2026-28864 | ローカル攻撃者がKeychainアイテムへのアクセスを取得。 | 認証情報をロックダウンするための権限チェックを改善しました。 |
| クリップボード | CVE-2026-28866 | アプリが機密のコピーされたユーザーデータにこっそりアクセス。 | 不正アクセスを防ぐためにシンボリックリンク検証を強化しました。 |
| ネットワーク | CVE-2026-28865 | 権限のある位置からのネットワークトラフィックのインターセプト。 | 802.1X認証状態管理の問題を修正しました。 |
Appleはこのパッチサイクルでユーザープライバシーに大きく焦点を当てたWebKit バグ(CVE-2025-43376)が解決され、これは以前にリモート攻撃者がiCloud Private Relayがオンに設定されている場合でも漏洩したDNS クエリを表示することを許可していました。
さらに、Appleはicloudおよびクラッシュレポーター(CVE-2026-28880およびCVE-2026-28878)の権限問題にパッチを当てました。これは不正なアプリがユーザーのデバイスにインストールされている他のアプリケーションをこっそりスキャンして列挙することを許可していました。
DarkSwordウェブ攻撃およびその根底にあるカーネルレベルの脆弱性の深刻さを考えると、すべてのAppleユーザーは自分のデバイスを直ちに更新することを強くお勧めします。
ユーザーは、デバイスがパッチを自動的に既に適用していない場合、インストールを手動でトリガーするために、設定 > 一般 > ソフトウェアアップデートに移動できます。
翻訳元: https://gbhackers.com/apple-ios-18-7-7-update-defend-against-darksword-exploit/
