Apple Patches Major Security Flaws in iOS, macOS Platforms
2025/05/12 SecurityWeek — 5月12日 (月) に Apple が公表したのは、macOS/iPhone/iPad のソフトウェア・スタック全体にわたるセキュリティ脆弱性に対するパッチのリリースである。一連の脆弱性により、不正な画像/動画/Web サイトを開くだけで、コード実行のバグが引き起こされる可能性があると、同社は警告している。最新の iOS 18.5 アップデートは、AppleJPEG/CoreMedia の深刻なバグを修正するものだ。それらを悪用する攻撃者が、任意のメディア・ファイルを作成し、標的アプリの権限を用いた任意のコード実行の可能性を得ると、Apple は警告している。
さらに同社は、CoreAudio/CoreGraphics/ImageIO でのファイル解析における、深刻な脆弱性も修正した。これらの脆弱性は、いずれも、不正なコンテンツを開く際に、アプリ・クラッシュやデータ漏洩を引き起こす可能性のあるものだ。
iOS 18.5 アップデートでは、少なくとも9件の WebKit の脆弱性も修正している。これらの脆弱性の中には、悪意の Web サイトによるコード実行や、Safari ブラウザ・エンジンのクラッシュを引き起こすとされる、深刻なエクスプロイトにつながるものもある。
さらに Apple は、FaceTime の深刻な “mute-button” 脆弱性も修正した。この脆弱性により、マイクをミュートした後であっても、音声会話が傍受される可能性が生じるという。
Apple によると、インターフェイスの基盤となる iOS 18.5 では、カーネルのメモリ破損に関する2つの問題が解決されたという。また、広範なソフトウェア・プロジェクトに影響を及ぼす、libexpat の脆弱性 CVE-2024-8176 も修正されている。
その他の注目すべき修正には、ネットワークの特権を持つ攻撃者が、新しい iPhone 16e シリーズのトラフィックを傍受できるという、Baseband の脆弱性 CVE-2025-31214 が修正された。また、mDNSResponderの権限昇格バグ CVE-2025-31222/ロックされた iPhone 画面のデータが露出する Notes の脆弱性なども修正されている。
なお、Apple は、修正されたバグが実際に悪用されたという報告はしていない。
すでに、iOS 18.5 アップデートは、iPhone XS 以降に対して提供されている。同時に iPadOS もリリースされ、iPad Pro (2018 以降)/iPad Air 3/iPad 7/iPad mini 5 以降のモデルに対応している。
また、macOS Sequoia/Sonoma/Ventura に加えて、WatchOS/tvOS/visionOS のメジャー・アップデートもリリースされている。
Apple iOS/macOS の複数の脆弱性が FIX しました。ユーザーの皆さんは、アップデートを忘れないよう、ご注意ください。なお、2025/05/09 には、「Apple macOS の脆弱性 CVE-2024-44236 が FIX:カラー・マネジメントを介したメモリ破損の恐れ」という記事も投稿しています。よろしければ、Apple で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.