Apple、iOS 18.5とiPadOS 18.5で多数の深刻な脆弱性を修正

Appleは2025年5月12日、iOS 18.5およびiPadOS 18.5を正式にリリースし、複数の重大なセキュリティ脆弱性への対策を発表しました。
今回のアップデートは、悪意のある画像や動画ファイルを処理するだけで任意コードが実行されるリスクを含め、幅広い脆弱性を修正しています。

主な修正内容と影響範囲

今回のアップデートでは、以下のような深刻な問題が修正されています。

メディア処理に関する脆弱性

• AppleJPEG（CVE-2025-31251）

• CoreMedia（CVE-2025-31233, CVE-2025-31239）

• CoreAudio（CVE-2025-31208）

• CoreGraphics（CVE-2025-31209）

• ImageIO（CVE-2025-31226）

いずれも、細工された画像や動画ファイルを開くだけでアプリケーションがクラッシュしたり、情報漏えいや任意コード実行につながる恐れがありました。

WebKit関連の脆弱性

• WebKitにおける複数の問題（CVE-2025-24213、CVE-2025-31223など）

細工されたWebコンテンツを読み込むことで、Safariブラウザのクラッシュや、悪意のあるコード実行のリスクが存在していました。

その他の重要な修正

• FaceTimeのミュートバグ修正（CVE-2025-31253）
  ミュート状態でも音声が漏れる問題に対応。

• Basebandの通信傍受リスク（CVE-2025-31214）
  特に新型iPhone 16eでのネットワーク通信傍受リスクを改善。

• Notesアプリにおけるロック画面情報漏えい問題（CVE-2025-31228）

• iCloud Document Sharingの認証バイパス（CVE-2025-30448）

• mDNSResponderの権限昇格脆弱性（CVE-2025-31222）

加えて、カーネルレベルでも2件のメモリ破損リスク（CVE-2025-31219、CVE-2025-31241）への対応が行われました。

対応デバイス

今回のiOS 18.5/iPadOS 18.5は、以下の機種を対象としています。

• iPhone：iPhone XS以降のモデル

• iPad：iPad Pro（2018年モデル以降）、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降

macOS Sequoia、Sonoma、Ventura、さらにwatchOS、tvOS、visionOS向けにも同時にセキュリティアップデートが提供されています。

Appleのコメントと注意事項

Appleは、修正された脆弱性が現時点では実際に悪用された形跡はないとしています。しかし、脆弱性の性質上、アップデート前のデバイスは非常に高いリスクに晒されているため、速やかなアップデート適用が推奨されます。

また、Appleは「詳細な調査とパッチ提供が完了するまでは脆弱性に関する情報を開示しない」という方針を改めて強調しています。

参照

https://support.apple.com/en-us/122404

関連記事

Apple、極めて高度なサイバー攻撃に悪用された脆弱性を修正(CVE-2025-24201) AppleのUSB制限モードが回避される深刻な脆弱性、極めて高度な攻撃で悪用が可能(CVE-2025-24200) Apple、旧版のiOS/macOSのゼロデイ 脆弱性へ修正パッチをリリース Apple、iPhoneを狙ったゼロデイ 攻撃に緊急対応 -iOSにセキュリティアップデートを配信 Appleがプライベートクラウドサーバーのバグバウンティで最大100 万ドルの報奨金を発表 Apple、Siriがユーザーの許可なく会話を記録・保存したとする訴訟で和解 CISAがAppleのiOSとMicrosoftの脆弱性の積極的な悪用を警告 Appleがカスペルスキーへのバグ報奨金支払いを拒否 6000以上のワードプレスがサイバー攻撃とハッキングの被害

投稿者：三村

セキュリティ対策Labのダークウェブの調査から執筆まで対応しています。 セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)や脆弱性の営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。