Appleは、パッチが当たっていないiPhoneとiPadを静かに侵害する可能性のある洗練されたWebベースの攻撃ベクトルであるDarkSwordエクスプロイトからユーザーを守るため、iOS 18.7.7とiPadOS 18.7.7の展開を積極的に拡大し、自動更新を通じてアップデートを数百万台の追加デバイスにプッシュしています。
元々2026年3月24日にリリースされたこのアップデートは、2026年4月1日に強制的なロールアウトがエスカレートされ、広範な悪用が根を下ろす前に脅威を中和するというAppleの緊迫感を示唆しています。
DarkSwordは、物理的なアクセスやユーザーが侵害されたページにアクセスする以外のインタラクションを必要とせずに、Appleデバイスを静かに侵害するための悪意のあるWebコンテンツを活用する重大なWebベースの攻撃チェーンです。
2025年に基本的な緩和策が導入されましたが、iOS 18.7.7は、脅威アクターがまだターゲットにする可能性のある残りの攻撃サーフェスを閉じるように設計された、必須のデバイス全体の保護を提供します。
DarkSwordは完全にWebベースの配信メカニズムに依存しており、すべてのブラウザセッションが潜在的なエントリーポイントになるため、Appleは、アクティブなデバイスが露出したままにならないようにするために、拡張された強制プッシュ更新が必要であると判断しました。
このアップデートは、iPhone XRから最新のiPhone 16ラインアップ、および複数のiPadの世代をサポートし、インストールベース全体のカバレッジを最大化します。
DarkSword保護の他に、iOS 18.7.7は、カーネル、WebKit、ネットワーク、プライバシーサブシステムにまたがる15以上の重大なセキュリティ欠陥を修正します。対処される最も深刻な脆弱性は次のとおりです:
さらに、iCloudおよびCrash Reporter(CVE-2026-28880およびCVE-2026-28878)の権限欠陥が解決されました。
これらのバグにより、不正なアプリケーションがユーザーのデバイスにインストールされている他のアプリを静かに列挙することが可能になり、この機能は頻繁にスパイウェアおよびストーカーウェアのオペレーターがデバイスフィンガープリントを構築するために悪用されます。
複数のCVEのカーネルレベルの深刻さとDarkSword Webチェーンのアクティブ悪用の可能性を考えると、すべてのiPhoneおよびiPadユーザーはこのアップデートを必須として扱う必要があります。
自動プロンプトを受け取っていないユーザーは、設定→一般→ソフトウェアアップデート経由でインストールを手動でトリガーできます。
Appleがこのアップデートを自動更新を通じて強制的にプッシュすることを決定したことは、DarkSwordがもたらす実世界のリスクを強調し、待つことが重大なWebベースの脅威への許容可能な対応ではないという同社の立場を強化しています。
翻訳元: https://cyberpress.org/apple-rolls-out-ios-18-7-7/