米Appleは3月31日(現地時間)、「iOS 18.4」および「iPadOS 18.4」の正式版をリリースした。Apple Intelligenceの多言語対応と機能追加で注目されているが、これらは多数の脆弱性の修正を含む大規模なセキュリティアップデートでもある。その数は60件以上にのぼり、写真やパスワード、位置情報といった機密性の高い個人情報を保護するうえで重要な修正が多数含まれている。
Appleは、脆弱性の詳細を攻撃者に悪用されることを防ぐため、修正パッチの配布前には情報を公開しない方針をとっている。アップデートのリリースと同時に脆弱性の詳細が公になるため、未更新のデバイスが攻撃の標的となるリスクが高まる。こうした背景から、多くのセキュリティ専門家が個人情報保護の観点から、iOS 18.4およびiPadOS 18.4へ可能な限り速やかにアップデートすることを推奨している。
iOS 18.4/iPadOS 18.4で修正された脆弱性の詳細はサポートページで公開されている。以下に特に重要な修正点を挙げる。
カーネルと関連コンポーネントの脆弱性:
- 悪意のあるアプリがロック中のiPhoneでパスコード入力を試み、4回失敗後に意図的に時間遅延を引き起こせる可能性があった脆弱性(CVE-2025-30432)が修正された。これはデバイスへの物理アクセスを持つ攻撃者による不正試行への抑制になる。
- また、悪意のあるアプリがroot権限を取得できる可能性のある脆弱性(CVE-2025-30456)も、パス検証の改善によって対処された。
WebKitの脆弱性:
- 悪意のあるiframe(Webページ内に埋め込まれた別のページ)によるクロスサイトスクリプティング攻撃(CVE-2025-24208)、プライベートブラウジングモードでのユーザートラッキング(CVE-2025-30425)など、多数の脆弱性が修正された。
データ漏洩につながる脆弱性:
- アプリがユーザーの許可なく、位置情報(例: マップアプリの脆弱性: CVE-2025-30470)、連絡先、写真などの機密データにアクセスできる可能性があった複数の問題が修正された。これには、iOSのバックアップからキーチェーンの機密データにアクセスされる可能性があった脆弱性(CVE-2025-24221)も含まれる。
- Siri、アクセシビリティ機能、集中モードなどに関連する脆弱性も修正され、これらの機能を経由した機密情報への不正アクセスや、ログ記録からの情報漏洩を防ぐ対策が施された。
写真アクセスの保護強化:
- Face IDやTouch IDによる認証なしに「非表示」アルバムにアクセスできてしまう脆弱性(CVE-2025-30428)、ロック画面から写真が閲覧できてしまう可能性があった脆弱性(CVE-2025-30469)、ロック解除時にUSB-C接続を通じて写真にプログラム的にアクセスされる可能性があった脆弱性(CVE-2025-24193)などが修正された。これらの多くは「状態管理(state management)」の改善によって対処されている。
上記以外にも、リモートの攻撃者によってサービス運用妨害(DoS攻撃)を引き起こされる可能性のある脆弱性(CVE-2025-30471)、アプリが本来アクセス権限のないファイルを削除できてしまう脆弱性(CVE-2025-31182)、アプリがプライバシー設定を迂回できてしまう脆弱性(CVE-2025-24095)など、多岐にわたる問題が修正されている。
