iPhone に iOS 18.5 をインストールすると、メモ、FaceTime、電話、iCloud ドキュメント共有などの 30 を超えるセキュリティ脆弱性に対するパッチを入手できます。
Appleは2025年5月12日(月)に、iOS 18.5を他のアップデートとともにリリースしました。このアップデートでは、メール機能の変更、新しい壁紙、スクリーンタイムのパスワード通知など、いくつかの新機能が追加されています。これらの機能に興味がなくても、最新のセキュリティパッチを入手するために、iOS 18.5、iPadOS 18.5、macOS Sequoia 15.5、watchOS 11.5などのアップデートをインストールすることをお勧めします。
Appleのセキュリティページには、iOS 18.5やその他のオペレーティングシステムで発見された脆弱性に対する30以上のパッチがリストされており、その中には、攻撃者がネットワークトラフィックを傍受できる可能性のあるiPhone 16eのApple C1モデムに対する初の修正も含まれている。
iOS 18.5 では、AppleJPEG、Baseband、通話履歴、Core Bluetooth、CoreAudio、CoreGraphics、CoreMedia、FaceTime、FrontBoard、iCloud ドキュメント共有、ImageIO、カーネル、libexpat、メール アドレス指定、mDNSResponder、Notes、Pro Res、セキュリティ、WebKit のセキュリティ パッチが適用されます。
iCloudドキュメント共有のバグは危険のようです。「攻撃者は認証なしでiCloudフォルダの共有をオンにできる可能性があります」とAppleは指摘しています。このバグは、権限チェックを追加したパッチで修正されました。iOS 18.5では、削除されたアプリの通話履歴がSpotlight検索結果に引き続き表示される可能性があるバグも修正されています。
メモアプリのバグにより、デバイスに物理的にアクセスできる攻撃者がロック画面からメモを読んだり、削除された通話録音にアクセスしたりできる可能性があります。Macでは、ホットコーナー機能により、削除されたメモが予期せず表示される可能性があります。
iCloudキーチェーンのパスワードが侵害されました
macOSにも、特に厄介な脆弱性がありました。アプリがiCloudキーチェーンに保存されている「関連付けられたユーザー名やウェブサイトにアクセスできる可能性がある」というものです。Appleはこれを「ログ記録の問題」によるものとし、データ編集の改善によって解決したと述べています。Macに内蔵されている天気アプリにもバグがあり、悪意のあるアプリが機密性の高い位置情報を読み取れる可能性があります。
メールアプリでは、メール処理によってユーザーインターフェースのなりすましにつながる可能性があるインジェクションの脆弱性がありましたが、入力検証の強化により修正されました。FaceTimeでは、通話中にマイクをミュートしても音声がミュートされないことがあるバグがありましたが、状態管理の改善により修正されました。
Apple Watchの重大な修正
Apple Watchをご利用の場合は、悪意を持って作成されたメディアファイル内のオーディオストリームを処理するとコード実行につながる可能性があるゼロデイ脆弱性から保護するために、watchOS 11.5を必ずインストールしてください。この脆弱性は既に悪用されています。「Appleは、この問題がiOS 18.4.1より前のバージョンのiOSにおいて、特定の個人を標的とした非常に高度な攻撃に悪用された可能性があるという報告を認識しています」とサポートドキュメントに記載されています。
すべてのAppleデバイスをアップデートする
Appleのソフトウェアプラットフォームは多くの共通基盤を備えているため、これらの修正は他のアップデートでも利用可能です。お使いのデバイスを最新の状態に保護するために、ソフトウェア・アップデートからOTA(無線)アップデートをインストールすることをお勧めします。Appleは、iPadOS 17.7.7、macOS Sonoma 14.7.6、macOS Ventura 13.7.6のアップデートで、古いiPhone、iPad、Macにも同様の修正を多数提供しています。
