アップルは5月12日(現地時間)、同日正式版の提供が始まったiOS/iPad OS 18.5のセキュリティー情報を公開した。「iPhone 16e」C1モデムの脆弱性など、CVE番号ベースで30件以上の問題に対処している。
主な修正内容は以下のとおり。深刻な脆弱性も含まれるため、特段の理由がない限り、早期のアップデートが推奨される。
●セキュリティーアップデート
・CVE-2025-31251:悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある
・CVE-2025-31214:iPhone 16eで、特権ネットワークポジションにいる攻撃者がネットワークトラフィックを傍受できる可能性がある
・CVE-2025-31225:削除されたアプリの通話履歴がスポットライト検索結果に表示される可能性がある
・CVE-2025-31212:アプリがユーザーの機密データにアクセスできる可能性がある
・CVE-2025-31208/CVE-2025-31239:ファイルを解析すると、アプリが予期せず終了する可能性がある
・CVE-2025-31209:ファイルを解析するとユーザー情報の漏えいにつながる可能性がある
・CVE-2025-31233:悪意を持って作成されたビデオファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある
・CVE-2025-31253:FaceTime通話中にマイクをミュートしても音声がミュートされない場合がある
・CVE-2025-31210:ウェブコンテンツの処理によりサービス拒否が発生する可能性がある
・CVE-2025-31207:アプリが、ユーザーのインストールしたアプリを列挙できる可能性がある
・CVE-2025-30448:攻撃者が認証なしでiCloudフォルダの共有をオンにできる可能性がある
・CVE-2025-31226:悪意を持って作成された画像を処理すると、サービス拒否攻撃を受ける可能性がある
・CVE-2025-31219/CVE-2025-31234:攻撃者が予期せぬシステム終了や、カーネルメモリの破損を引き起こす可能性がある
・CVE-2025-31241:リモート攻撃者がアプリを予期せず終了させる可能性がある
・CVE-2024-8176:libexpatにおける複数の問題(予期しないアプリの終了や任意のコードの実行など)
・CVE-2025-24225:メールを処理すると、ユーザーインターフェースのなりすましが発生する可能性がある
・CVE-2025-31222:ユーザーが権限を昇格できる可能性がある
・CVE-2025-31228:デバイスに物理的にアクセスできる攻撃者がロック画面からメモにアクセスできる可能性がある
・CVE-2025-31227:デバイスに物理的にアクセスできる攻撃者が、削除された通話録音にアクセスできる可能性がある
・CVE-2025-31245:アプリが予期せぬシステム終了を引き起こす可能性がある
・CVE-2025-31221:リモート攻撃者がメモリをリークする可能性がある
・CVE-2025-24213:型の混乱の問題によりメモリ破損が発生する可能性がある
・CVE-2025-31223/CVE-2025-31238/CVE-2025-24223/CVE-2025-31204:悪意を持って作成されたウェブコンテンツを処理すると、メモリ破損が発生する可能性がある
・CVE-2025-31217/CVE-2025-31206/CVE-2025-31257:悪意を持って作成されたウェブコンテンツを処理すると、予期せぬSafariのクラッシュが発生する可能性がある
・CVE-2025-31215:悪意を持って作成されたウェブコンテンツを処理すると、予期しないプロセスクラッシュが発生する可能性がある
・CVE-2025-31205:悪意のあるウェブサイトがクロスオリジンでデータを盗み出す可能性がある
iOS/iPadOS 18の対象機種で自動アップデートをオフにしている場合は、「設定」→「一般」→「ソフトウェアアップデート」から、手動でアップデート可能だ。
