iOS 18.3およびiPadOS 18.3のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2025年1月27日リリース
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ロックされていないデバイスに物理的にアクセスできる攻撃者が、ロックされている写真アプリにアクセスできる可能性がある。
説明:ステート管理を改善し、認証の脆弱性に対処しました。
CVE-2025-24141:C-DAC(インド、ティルヴァナンタプラム)のAbhay Kailasia氏(@abhay_kailasia)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ローカルネットワーク上の攻撃者にプロセスメモリを破損される可能性がある。
説明:入力検証における脆弱性に対処しました。
CVE-2025-24126:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ローカルネットワーク上の攻撃者にアプリを突然終了される可能性がある。
説明:チェックを強化し、型の取り違え(type confusion)の脆弱性に対処しました。
CVE-2025-24129:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ローカルネットワーク上の攻撃者からサービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24131:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ローカルネットワーク上の攻撃者からサービス運用妨害を受ける可能性がある。
説明:入力検証を強化し、ヌルポインタ逆参照に対処しました。
CVE-2025-24177:Uri Katz氏(Oligo Security)
CVE-2025-24179:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ローカルネットワーク上の攻撃者にプロセスメモリを破損される可能性がある。
説明:チェックを強化し、型の取り違え(type confusion)の脆弱性に対処しました。
CVE-2025-24137:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24127:Minghao Lin氏(@Y1nKoc)、babywu氏、浙江大学のXingwei Lin氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24160:Google Threat Analysis Group
CVE-2025-24161:Google Threat Analysis Group
CVE-2025-24163:Google Threat Analysis Group
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24123:Trend Micro Zero Day Initiativeに協力するDesmond氏
CVE-2025-24124:Trend Micro Zero Day Initiativeに協力するPwn2carおよびRotiple(HyeongSeok Jang氏)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意のあるアプリケーションに権限を昇格される可能性がある。Appleでは、iOS 17.2より前のバージョンのiOSで、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2025-24085
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24184:Song Hyun Bae氏(@bshyuunn)、Lee Dong Ha氏(Who4mI)
2025年5月16日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。
CVE-2025-24111:CyberservalのWang Yu氏
2025年5月12日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:画像を処理すると、サービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24086:Enki WhiteHatのDongJun Kim氏(@smlijun)およびJongSeong Kim氏(@nevul37)、D4m0n氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリが重要なカーネル状態を漏洩させる可能性がある。
説明:脆弱なコードを削除することで、情報漏洩の脆弱性に対処しました。
CVE-2025-24144:Mateusz Krzywicki氏(@krzywix)
2025年5月12日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意のあるアプリがルート権限を取得できる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-24107:匿名の研究者
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:ロジックを改良し、検証の脆弱性に対処しました。
CVE-2025-24159:pattern-f氏(@pattern_F)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリがユーザの指紋を採ることができる場合がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2025-24117:Michael(Biscuit)Thomas氏(@biscuit@social.lol)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリからサービス運用妨害を受ける可能性がある。
説明:アプリがシステム通知を偽装する可能性があります。機密性の高い通知には制限された資格が必要になりました。
CVE-2025-24091:Best Buddy AppsのGuilherme Rambo氏(rambo.codes)
2025年4月30日に更新
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2024-55549:Google Project ZeroのIvan Fratric氏
CVE-2025-24855:Google Project ZeroのIvan Fratric氏
2025年5月16日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたバックアップファイルを復元すると、保護されているシステムファイルが変更される可能性がある。
説明:シンボリックリンクの処理を改善することで、この問題に対処しました。
CVE-2025-24104:Hichem Maloufi氏、Hakim Boukhadra氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-31262:Mickey Jin氏(@patch1t)
2025年5月16日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリがBluetoothに不正アクセスできる可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2024-9956:mastersplinter氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:非表示の写真アルバムの写真が認証なしで表示される可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2025-31185:Jason Gendron氏(@gendron_jason)、이준성(Junsung Lee)氏
2025年5月16日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意のあるWebサイトにアクセスすると、アドレスバーを偽装される可能性がある。
説明:追加ロジックを追加することで、この問題に対処しました。
CVE-2025-24128:@RenwaX23氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意のあるWebサイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。
説明:UIを改善することで、この問題を解決しました。
CVE-2025-24113:@RenwaX23氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:ファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2025-24149:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:アプリが連絡先の電話番号をシステムログで確認できる場合がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2025-24145:Kirin氏(@Pwnrin)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:攻撃者によって突然システムが終了されたり、カーネルメモリが破損される可能性がある。
説明:入力検証を強化することで、領域外書き込みに対処しました。
CVE-2025-24154:匿名の研究者
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:284332
CVE-2025-24189:匿名の研究者
2025年5月16日に追加
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたWebページが、ユーザを一意に識別するデータを作成できる場合がある。
説明:ファイルシステムへのアクセス制御を改善することで、この問題に対処しました。
WebKit Bugzilla:283117
CVE-2025-24143:匿名の研究者
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:283889
CVE-2025-24158:NUS CuriOSityのQ1IQ氏(@q1iqF)およびImperial Global SingaporeのP1umer氏(@p1umer)
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
WebKit Bugzilla:284159
CVE-2025-24162:HKUS3Labのlinjy氏およびWHUSecLabのchluo氏
対象:iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第7世代)以降、iPad mini(第5世代)以降
影響:WebインスペクタからURLをコピーすると、コマンドインジェクションを引き起こす場合がある。
説明:ファイルの処理を改善することで、プライバシーの問題に対処しました。
WebKit Bugzilla:283718
CVE-2025-24150:Johan Carlsson氏(joaxcar)
LNCT BhopalおよびC-DAC Thiruvananthapuram IndiaのAbhay Kailasia氏(@abhay_kailasia)のご協力に感謝いたします。
Uri Katz氏(Oligo Security)のご協力に感謝いたします。
2025年4月28日に追加
Google Threat Analysis Groupのご協力に感謝いたします。
Google Threat Analysis Groupのご協力に感謝いたします。
ZUSO ARTおよびtaikosoupのChi Yuan Chang氏のご協力に感謝いたします。
Lakshmi Narain College of Technology(インド、ボーパール)のAbhay Kailasia氏(@abhay_kailasia)、George Kovaios氏、Srijan Poudel氏のご協力に感謝いたします。
2025年5月16日に追加
Lakshmi Narain College of Technology Bhopal IndiaのAbhay Kailasia氏(@abhay_kailasia)、Xingjian Zhao氏(@singularity-s0)のご協力に感謝いたします。
Mysk Inc. @mysk_coのTalal Haj Bakry氏およびTommy Mysk氏のご協力に感謝いたします。
C-DAC(インド、ティルヴァナンタプラム)のAbhay Kailasia氏(@abhay_kailasia)および匿名の研究者のご協力に感謝いたします。
Yannik Bloscheck氏(yannikbloscheck.com)のご協力に感謝いたします。
LNCT BhopalおよびC-DAC Thiruvananthapuram IndiaのAbhay Kailasia氏(@abhay_kailasia)のご協力に感謝いたします。
Holger Fuhrmannek氏のご協力に感謝いたします。
Bistrit Dahal氏、Dalibor Milanovic氏のご協力に感謝いたします。