iOS 18.2およびiPadOS 18.2のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2024年12月11日リリース
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:非表示の写真アルバムの写真が認証なしで表示される可能性がある。
説明:ファイル処理を改善し、ロジックの問題に対処しました。
CVE-2024-54488:Benjamin Hornbeck氏、Skadz氏(@skadz108)、ZUSO ARTおよびtaikosoupのChi Yuan Chang氏
2025年1月27日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2024-54541:Arsenii Kostromin氏(0x3c3e)および匿名の研究者
2025年1月27日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ネットワーク上の特権的な地位を悪用した攻撃者に、ユーザのアクティビティを追跡される可能性がある。
説明:プロトコルの処理を改善することで、この問題に対処しました。
CVE-2024-40864:SecuRingのWojciech Regula氏(wojciechregula.blog)
2025年4月2日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意のあるアプリに、非公開の情報にアクセスされる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54526:Mickey Jin氏(@patch1t)、Arsenii Kostromin氏(0x3c3e)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2024-54527:Mickey Jin氏(@patch1t)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:通話を着信中に消音にしても、消音が有効にならない場合がある。
説明:ステート管理を改善し、ユーザインターフェイス不一致の脆弱性に対処しました。
CVE-2024-54503:Micheal Chukwu氏および匿名の研究者
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:「メッセージ」や「メール」から自動入力されたシステムログの連絡先情報をアプリが表示できる可能性がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2024-54550:Smi1e氏(@Smi1eSEC)
2025年1月27日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2024-54513:匿名の研究者
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:システムバイナリを利用してApple Accountが特定される可能性がある。
説明:関連フラグを削除することで、この問題に対処しました。
CVE-2024-54512:Bistrit Dahal氏
2025年1月27日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたフォントを処理すると、プロセスメモリが漏洩する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54486:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2024-54478:Gary Kwong氏
2025年1月27日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2024-54499:Trend Micro Zero Day Initiativeに協力する匿名の研究者
2025年1月27日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54500:Trend Micro Zero Day Initiativeに協力するJunsung Lee氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリがコプロセッサメモリを破損できる可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
CVE-2024-54517:Baidu SecurityのYe Zhang氏(@VAR10CK)
CVE-2024-54518:Baidu SecurityのYe Zhang氏(@VAR10CK)
CVE-2024-54522:Baidu SecurityのYe Zhang氏(@VAR10CK)
CVE-2024-54523:Baidu SecurityのYe Zhang氏(@VAR10CK)
2025年1月27日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54468:匿名の研究者
2025年1月27日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:攻撃者がユーザ権限でカーネルメモリを読み取れる可能性がある。
説明:メモリ処理を強化し、型の取り違え(type confusion)の脆弱性に対処しました。
CVE-2024-54507:MIT CSAILのJoseph Ravichandran氏(@0xjprx)
2025年1月27日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:攻撃者が、読み取り専用のメモリマッピングを書き込み可能なものに改ざんできる可能性がある。
説明:検証を追加することで、競合状態に対処しました。
CVE-2024-54494:sohybbyk氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリが重要なカーネル状態を漏洩させる可能性がある。
説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。
CVE-2024-54510:MIT CSAILのJoseph Ravichandran氏(@0xjprx)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-44245:匿名の研究者
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:リモートの攻撃者により、アプリを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを確認してください。
CVE-2024-45490
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54514:匿名の研究者
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリに昇格した権限を取得される可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-44225:风沐云烟氏(@binary_fmyy)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたバックアップファイルを復元すると、保護されているシステムファイルが変更される可能性がある。
説明:ファイル処理を改善し、ロジックの問題に対処しました。
CVE-2024-54525:Andrew James Gonzalez氏、Dragon Fruit Security(Davis Dai氏、ORAC 落云氏、Frank Du氏による共同発見)
2025年3月17日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:認証に失敗した後、「パスワードの自動入力」によってパスワードが入力される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54530:C-DAC(インド、ティルヴァナンタプラム)のAbhay Kailasia氏(@abhay_kailasia)、Rakeshkumar Talaviya氏、Tomomasa Hiraiwa氏
2025年1月27日に追加、2025年3月17日に更新
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ネットワーク上の特権的な地位を利用したユーザが、重要な情報を漏洩させる可能性がある。
説明:ネットワークで情報を送信する際はHTTPSを利用することで、この問題に対処しました。
CVE-2024-44276:Mysk Inc.(@mysk_co)のTalal Haj Bakry氏およびTommy Mysk氏
2025年3月17日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ネットワーク上で特権的な地位を利用した攻撃者に、ネットワークトラフィックを改ざんされる可能性がある。
説明:ネットワークで情報を送信する際はHTTPSを利用することで、この問題に対処しました。
CVE-2024-54492:Mysk Inc.(@mysk_co)のTalal Haj Bakry氏およびTommy Mysk氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54497:Trend Micro Zero Day Initiativeに協力する匿名の研究者
2025年1月27日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:プライベートリレーが有効になっているデバイスでSafariリーディングリストにWebサイトを追加すると、発信元IPアドレスがWebサイトに漏洩する可能性がある。
説明:Safariからのリクエストのルーティングを強化することで、この問題に対処しました。
CVE-2024-44246:Jacob Braun氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:プライベートブラウズのタブに、認証されないままアクセスできる可能性がある。
説明:ステート管理を改善し、認証の脆弱性に対処しました。
CVE-2024-54542:Rei氏(@reizydev)、Kenneth Chew氏
2025年1月27日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたファイルを処理すると、サービス運用妨害を受ける可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54501:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたファイルを処理すると、ヒープ破損が起きる可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを確認してください。
CVE-2024-45306
2025年1月27日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:iOSデバイスに物理的にアクセスできる攻撃者がロック画面で通知の内容を表示できる可能性がある。
説明:追加ロジックを追加することで、この問題に対処しました。
CVE-2024-54485:C-DAC(インド、ティルヴァナンタプラム)のAbhay Kailasia氏(@abhay_kailasia)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:278497
CVE-2024-54479:Seunghyun Lee氏
WebKit Bugzilla:281912
CVE-2024-54502:Google Project ZeroのBrendon Tiszka氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:282180
CVE-2024-54508:HKUS3Labのlinjy氏およびWHUSecLabのchluo氏、Tencent Security YUNDING LABのXiangwei Zhang氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:メモリ処理を強化し、型の取り違え(type confusion)の脆弱性に対処しました。
WebKit Bugzilla:282661
CVE-2024-54505:Gary Kwong氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:277967
CVE-2024-54534:Tashita Software Security
WebKit Bugzilla:282450
CVE-2024-54543:Lukas Bernhard氏、Gary Kwong氏、および匿名の研究者
2025年1月27日に追加
Lakshmi Narain College of Technology Bhopal IndiaのAbhay Kailasia氏(@abhay_kailasia)、Andr.Ess氏、Jake Derouin氏、Jason Gendron氏(@gendron_jason)のご協力に感謝いたします。
Lakshmi Narain College of Technology Bhopal IndiaのAbhay Kailasia氏(@abhay_kailasia)のご協力に感謝いたします。
Sophie Winter氏のご協力に感謝いたします。
2025年3月17日に追加
Lakshmi Narain College of Technology Bhopal IndiaのAbhay Kailasia氏(@abhay_kailasia)のご協力に感謝いたします。
Bistrit Dahal氏のご協力に感謝いたします。
2025年3月17日に追加
椰椰 氏のご協力に感謝いたします。
Joshua Pellecchia氏のご協力に感謝いたします。
Lakshmi Narain College of Technology Bhopal India, J TのAbhay Kailasia(@abhay_kailasia)氏のご協力に感謝いたします。
Christian Scalese氏のご協力に感謝いたします。
2025年1月27日に追加
Tecno Serviceのご協力に感謝いたします。
2025年3月17日に追加
Katzenfutter氏のご協力に感謝いたします。
Bistrit Dahal氏、ZUSO ARTおよびtaikosoupのChi Yuan Chang氏、Finlay James氏(@Finlay1010)、Rizki Maulana氏(rmrizki.my.id)、Srijan Poudel氏のご協力に感謝いたします。
Jake Derouin氏(jakederouin.com)のご協力に感謝いたします。
ジョージ・メイソン大学のJunming C.氏(@Chapoly1305)およびQiang Zeng教授のご協力に感謝いたします。
匿名の研究者のご協力に感謝いたします。
Jayateertha Guruprasad氏のご協力に感謝いたします。
Route Zero SecurityのRichard Hyunho Im氏(@richeeta)氏のご協力に感謝いたします。
Akshith Muddasani氏、Bistrit Dahal氏、Emanuele Slusarz氏、Abhishek Kanaujia氏のご協力に感謝いたします。
2025年1月27日に追加
Srijan Poudel氏およびBistrit Dahal氏のご協力に感謝いたします。
2025年1月27日に追加
LNCT BhopalおよびC-DAC Thiruvananthapuram IndiaのAbhay Kailasia氏(@abhay_kailasia)のご協力に感謝いたします。
Lakshmi Narain College of Technology Bhopal IndiaのAbhay Kailasia氏(@abhay_kailasia)、Andr.Ess氏のご協力に感謝いたします。
Marc Schoenefeld理学博士のご協力に感謝いたします。
LNCT BhopalおよびC-DAC Thiruvananthapuram IndiaのAbhay Kailasia氏(@abhay_kailasia)のご協力に感謝いたします。
Hafiizh氏のご協力に感謝いたします。
Felix Kratz氏のご協力に感謝いたします。