iOS 18.7.2およびiPadOS 18.7.2のセキュリティコンテンツについて

iOS 18.7.2およびiPadOS 18.7.2のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

iOS 18.7.2およびiPadOS 18.7.2

Accessibility

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリが、ユーザがインストール済みのほかのアプリを特定できる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2025-43442：ByteDanceのIES Red TeamのZhongcheng Li氏

App Store

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリがユーザの指紋を採ることができる場合がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2025-43444：ByteDanceのIES Red TeamのZhongcheng Li氏

Audio

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：Macとペアリングされ、ロック解除されているデバイスに物理的にアクセスできる攻撃者がシステムログ記録のユーザの機微情報を表示できる可能性がある。

説明：データの墨消しを改善することでログ入力の問題に対処しました。

CVE-2025-43423：Duy Trần氏（@khanhduytran0）

Camera

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：カメラへのアクセス権を認められる前に、アプリが現在のカメラビューに関する情報を入手できる可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2025-43450：Dennis Briner氏

CloudKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：シンボリックリンクの検証を改善することで、この問題に対処しました。

CVE-2025-43448：Hikerell氏（Loadshine Lab）

CoreText

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。

説明：入力検証を強化することで、領域外読み込みに対処しました。

CVE-2025-43445：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

Find My

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリがユーザの指紋を採ることができる場合がある。

説明：機微なデータを移動することで、プライバシーの問題に対処しました。

CVE-2025-43507：iisBuri氏

Installer

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリがユーザの指紋を採ることができる場合がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2025-43444：ByteDanceのIES Red TeamのZhongcheng Li氏

Kernel

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-43398：Cristian Dinca氏（icmd.tech）

Mail

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：「サーバ上の画像を読み込む」設定が無効になっていてもサーバ上のコンテンツが読み込まれる可能性がある。

説明：追加ロジックを追加することで、この問題に対処しました。

CVE-2025-43496：Romain Lebesle氏、Himanshu Bharti氏（@Xpl0itme、カティマ）

MetricKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：権限のないプロセスによって、rootプロセスが終了する可能性がある。

説明：入力検証を強化し、サービス運用妨害の脆弱性に対処しました。

CVE-2025-43365：Minghao Lin氏（@Y1nKoc）、Lyutoon氏（@Lyutoon_）、YingQi Shi氏（@Mas0n）

Model I/O

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。

説明：配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。

CVE-2025-43386：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

CVE-2025-43383：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

CVE-2025-43385：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

CVE-2025-43384：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

Model I/O

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリからサービス運用妨害を受ける可能性がある。

説明：配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。

CVE-2025-43377：BynarIO AI氏（bynar.io）

Notes

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：脆弱なコードを削除することで、プライバシーの問題に対処しました。

CVE-2025-43389：Kirin氏（@Pwnrin）

On-device Intelligence

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリがユーザの指紋を採ることができる場合がある。

説明：機微なデータを削除することで、プライバシーの問題に対処しました。

CVE-2025-43439：ByteDanceのIES Red TeamのZhongcheng Li氏

Safari

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意のあるWebサイトにアクセスすると、アドレスバーを偽装される可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-43493：@RenwaX23氏

Safari

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意のあるWebサイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。

説明：ステート管理を改善し、ユーザインターフェイス不一致の脆弱性に対処しました。

CVE-2025-43503：@RenwaX23氏

Shortcuts

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：この問題は、追加のエンタイトルメントチェックを設けることで解決されました。

CVE-2025-43499：匿名の研究者

Siri

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：デバイスのロックが継続的に失敗する可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2025-43454：Joshua Thomas氏

Siri

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2025-43399：Kirin氏（@Pwnrin）、Cristian Dinca氏（icmd.tech）

Spotlight

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：ロックされているデバイスに物理的にアクセスできる攻撃者がユーザの機微情報を見ることができる。

説明：この問題は、ロックされたデバイスで提示されるオプションを制限することで解決されました。

CVE-2025-43418：Dalibor Milanovic氏

WebKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2025-43438：Trend Micro Zero Day Initiativeに協力するshandikri氏

CVE-2025-43434：Google Big Sleep

WebKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2025-43458：Phil Beauvoir氏

WebKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-43433：Google Big Sleep

CVE-2025-43431：Google Big Sleep

WebKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-43441：rheza氏（@ginggilBesel）

CVE-2025-43435：GoogleのJustin Cohen氏

WebKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。

CVE-2025-43429：Google Big Sleep

WebKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：この問題は、チェックを強化することで解決されました。

CVE-2025-43443：匿名の研究者

WebKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリがユーザの許可を得ることなくキーストロークを監視できる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-43495：Lehan Dilusha Jayasinghe氏

WebKit Canvas

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：Webサイトに、画像データをクロスオリジンで取得される可能性がある。

説明：キャッシュの処理を改善することで、この問題に対処しました。

CVE-2025-43392：Tom Van Goethem氏

ご協力いただいたその他の方々

Mail

匿名の研究者のご協力に感謝いたします。

Shortcuts

Andrew James Gonzalez氏のご協力に感謝いたします。

WebKit

Enis Maholli氏（enismaholli.com）およびGoogle Big Sleepのご協力に感謝いたします。