Appleは日本時間本日2023年5月2日未明、iPhone向けの最新OS(システムソフトウェア)【iOS 16.4.1】及びiPad向けの【iPadOS 16.4.1】の緊急セキュリティパッチ、【iOS 16.4.1(a)】と【iPadOS 16.4.1(a)】の提供を開始しました。今回のようにバージョンの数字を変えずに緊急セキュリティパッチをリリースするのはAppleのiOS及びiPadOSでは初めてのことになります。
このiOS 16.4.1(a)は2023年4月9日にリリースされたiOS 16.4.1から約3週間でリリースされました。
iOS 16.4.1(a)/iPadOS 16.4.1(a)アップデート内容
iOS 16.4.1アップデートの変更点について、Appleはリリースノートで以下のように記述しています。非常に簡潔ですが。。
この緊急セキュリティ対応には重要なセキュリティ修正が含まれ、すべてのユーザに推奨されます。
詳しくは次をご覧ください:
基本的に緊急セキュリティパッチがリリースされたということは、ゼロデイ脆弱性の修正が行われたと考えられるため、できるだけ早めに適用した方がいいでしょうね。しかしこれだけ緊急にリリースされたということは。。ゼロデイ脆弱性があるのであれば、それを利用した脱獄(Jailbreak)ツールが出たりするのかな、と思ったりしますがもう私は脱獄はやっていません。
ところで今回わざわざ、サポートページに上記の緊急セキュリティ対応についての新しいページが作られました。そこには、以下のように書かれています。
緊急セキュリティ対応は、ソフトウェアアップデートの合間に、セキュリティに関わる重要な改善点を配信するものです。
緊急セキュリティ対応は、iPhone、iPad、Mac を対象とした新しい種類のソフトウェアリリースです。ソフトウェアアップデートの合間に、セキュリティに関わる重要な改善点を配信します (たとえば、Safari Web ブラウザ、WebKit フレームワークスタック、その他の重要なシステムライブラリに対する機能強化など)。一部のセキュリティ上の問題 (脆弱性を悪用されかねない状況や、被害が報告されている問題など) に迅速に対処する緩和策として用いられる場合もあります。緊急セキュリティ対応を受信するには、iOS 16.4.1 以降、iPadOS 16.4.1 以降、または macOS Ventura 13.3.1 以降が必要です。デフォルトでは、緊急セキュリティ対応が自動的に適用され、必要な場合には、デバイスの再起動を促すようになっています。デバイスの設定を確認するには、以下の手順を実行してください。
・iPhone または iPad:「設定」>「一般」>「ソフトウェアアップデート」>「自動アップデート」の順に選択し、「セキュリティ対応とシステムファイル」がオンになっていることを確認します。
・Mac:Apple メニュー >「システム設定」の順に選択します。サイドバーで「一般」をクリックし、右側で「ソフトウェアアップデート」をクリックします。自動アップデートの横にある詳細表示ボタン をクリックし、「セキュリティ対応とシステムファイルをインストール」がオンになっていることを確認します。
緊急セキュリティ対応が適用されると、ソフトウェアのバージョン番号の後に文字が表示されます (例:macOS 13.3.1 (a))。
この設定をオフにした場合や、緊急セキュリティ対応が公開された時点で適用しなかった場合、該当する修正や緩和策は、後日のソフトウェアアップデートに盛り込まれてデバイスに配信されます。
というわけで、本来は自動的に適用されるようにOS側で設定されていますが、私は自動アップデートをダウンロードのみに設定していたためか、自動的には適用されませんでした(タイミングの問題だったかもしれません)。
なおこの緊急セキュリティパッチはiPhone 12 Pro Maxに限って言えばあっという間に適用可能です。再起動は必要となりますが、通常の再起動と変わらない感じでした。
今後はバージョン番号の後ろに英字が追記され、それが変わっていくことになりそうです。しかしこれができるならなぜiOSのセキュリティ対策として何年も前からやっていなかったのか、とても疑問です。これまで初期バグによってビルド番号を変えてリリースすることはありましたが、、明らかに以前とは対応が変わってきている気がします。
今回、上記の緊急セキュリティアップデートに関するサイトでは、セキュリティアップデートの詳細の内容が公開されなくなりました。これまではリリースノートに掲載されていたAppleセキュリティアップデートのページで、OSアップデートが行われた後セキュリティアップデートの内容が公開されていました。ただそのページでも、OSアップデートがリリースされてから一定期間が経たないとセキュリティアップデートの詳細は公開されませんでした(大体数日)。今後は緊急セキュリティパッチを間に挟むことで、更にセキュリティアップデートの内容を公開するタイミングが遅くなると思われます。これはもちろんOSのバージョンそのものがアップデートされていないのでAppleセキュリティアップデートには反映されないというのがAppleの建前としつつも、問題を公開しないことで、悪玉ハッカー達がそれらの問題を利用してまだアップデートされていないデバイスを攻撃するのを避けるためだと思われます。
macOS Ventura 13.3.1(a) アップデート内容
macOSでもVentura 13.3.1(a)セキュリティアップデートがリリースされています。設定を日本語にしていても表示が英語になるので、よほど慌てたのかなと思います。
基本的に緊急セキュリティパッチがリリースされたということは、ゼロデイ脆弱性の修正が行われたと考えられるため、できるだけ早めに適用した方がいいでしょうね。
なおこの緊急セキュリティパッチはM2 Pro Mac miniに限って言えばあっという間に適用可能です。
私の場合M2 Pro Mac miniですが、セキュリティパッチで309.8MBというのはサイズが大きい感じがします。ダウンロードが済んでしまえば、あとは再起動は必要となりますが通常の再起動と変わらない感じでした(通常のアップデートだと再起動に時間がかかります)。
最新ハードウェアiPhone 14シリーズ用を含む、iOS/iPadOS 16.4.1(a)等のオリジナルファームウェアのダウンロードはこちらから
最新の【iPhone 14/iPhone 14 Plus/iPhone 14 Pro/iPhone 14 Pro Max】用も含め、iOS/iPadOS 16.4.1(a)等のファームウェア(OFW)のダウンロードリンクはこちらです(順次アップデート予定)。
基本的にはiOS等AppleのOSは最新バージョンにしか復元できないようになっていますが、先にファームウェアをダウンロードしておいて複数台をアップデートする、或いは一つ前のiOSでSHSHが発行されているバージョンへのダウングレードやバージョン維持復元の用途でお使いいただけます。