Appleは火曜日にiOS 11.3.1をリリースしました。Appleのパッチノートには、セキュリティと、iPhone 8デバイスでサードパーティ製の無許可の画面交換によって発生する問題の2点が記載されています。

別途、Apple は macOS 10.13.4 セキュリティアップデート 2018-001 をリリースしました。

興味深いことに、Appleのパッチノートでは、今回のリリースはiOSデバイスの「セキュリティを向上させる」と明記されています。これは、アップデートに多くのセキュリティパッチが含まれている場合でも、Appleが通常用いる「パフォーマンスと信頼性」というより一般的な表現とは異なります。詳細は後述します。

iOS 11.3.1 は、iPhone X の場合、44.5MB の無線 (OTA) ダウンロードです。iPad Pro (9.7 インチ) の場合は 33.5MB です。

iOS 11.3.1 リリースノート

iOS 11.3.1 では、iPhone または iPad のセキュリティが強化され、非純正の交換ディスプレイを使用して修理されたために一部の iPhone 8 デバイスでタッチ入力が反応しなくなる問題が修正されています。

注：非純正品の交換用ディスプレイは、画質が低下したり、正常に動作しない場合があります。Apple認定の画面修理は、信頼できる専門家がApple純正部品を使用して行います。詳しくはsupport.apple.comをご覧ください。

iOS 11.3.1 のセキュリティリリースノート

AppleのiOS 11.3.1のセキュリティリリースノートには、修正された4つのセキュリティホールが詳細に記載されています。そのうち3つは、悪意のある人物によるiOSデバイスの乗っ取りを許し、3つ目はUIの偽装を許し、これも不正行為につながる可能性があります。Appleより：

クラッシュレポーター

対象: iPhone 5s 以降、iPad Air 以降、iPod touch (第 6 世代)
影響:アプリケーションが昇格された権限を取得できる可能性があります
説明:エラー処理を改善し、メモリ破損の問題が解決されました。

CVE-2018-4206: Google Project Zero の Ian Beer

リンクプレゼンテーション

対象機種： iPhone 5s以降、iPad Air以降、iPod touch（第6世代）
影響：悪意を持って作成されたテキストメッセージを処理すると、UIの偽装が発生する可能性があります。
説明： URLの処理に偽装の脆弱性がありました。この問題は、入力検証を強化することで解決されました。

CVE-2018-4187: Tencent セキュリティプラットフォーム部門の Zhiyang Zeng (@Wester)、Roman Mueller (@faker_)

ウェブキット

対象機種: iPhone 5s 以降、iPad Air 以降、iPod touch (第 6 世代)
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性がある
説明:状態管理を改善することで、メモリ破損の問題が解決されました。

CVE-2018-4200: Google Project Zero の Ivan Fratric 氏

ウェブキット

対象: iPhone 5s 以降、iPad Air 以降、iPod touch (第 6 世代)
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される可能性がある
説明:メモリ処理を改善し、メモリ破損の問題を解決しました。

CVE-2018-4204: トレンドマイクロのゼロデイイニシアチブに携わるリチャード・チュー（蛍光）がOSS-Fuzzによって発見