概要

Appleは、2025年11月3日にリリースされたiOS 26.1およびiPadOS 26.1向けに、広範な脆弱性に対する重要な修正を含む新たなセキュリティアップデートを展開しました。このアップデートは、iPhone 11以降のモデル、およびiPad Pro（第3世代以降）、iPad Air（第3世代以降）、iPad（第8世代以降）、iPad mini（第5世代以降）を含む複数のiPadモデルで利用可能です。

修正された主な脆弱性

今回のアップデートでは、悪意のあるアプリが機密データへの不正アクセス、プライバシー設定のバイパス、またはデバイスの不安定化を引き起こす可能性のある複数のセキュリティ問題に対処しています。Appleは、これらの欠陥を発見した複数の独立系研究者およびセキュリティチームに謝意を表明しています。

• Apple Neural Engine (CVE-2025-43447およびCVE-2025-43462): 以前は悪意のあるアプリがシステムクラッシュやカーネルメモリの破損を引き起こす可能性がありましたが、メモリ処理の改善によりこれらの問題が防止されました。
• Apple Account (CVE-2025-43455): 悪意のあるアプリがプライベート情報を含む埋め込みビューのスクリーンショットをキャプチャできる問題がありましたが、より強力なプライバシーチェックによって軽減されました。
• AppleMobileFileIntegrityおよびAssetsコンポーネント: アプリがサンドボックスの制限を回避したり、保護されたデータにアクセスしたりするのを防ぐためのアップデートが適用されました。CVE-2025-43379およびCVE-2025-43407などの脆弱性は、検証とエンタイトルメント処理の強化によって修正されました。
• WebKitの脆弱性: SafariのブラウザエンジンであるWebKitで多数の脆弱性が発見されました。これには、メモリ破損、安全でないデータ漏洩、または予期しないブラウザクラッシュにつながる可能性のある複数のバグが含まれます。Appleは、メモリ管理、入力検証、およびより厳格なセキュリティチェックを改善することでこれらの問題を修正しました。最も重大なWebKitの欠陥には、CVE-2025-43438、CVE-2025-43433、およびCVE-2025-43421などのCVE識別子が付与されています。
• プライバシー関連の弱点: WebKit以外にも、Control Center (CVE-2025-43350) およびStatus Bar (CVE-2025-43460) がロックされたデバイスで制限された情報や機密情報を公開する可能性があった問題に対し、Appleはアクセス許可を強化し、ロック画面の保護を強化しました。さらに、写真、連絡先、および「探す」機能における新たな修正により、アプリによるユーザーのフィンガープリントや追跡が防止され、ログや一時ファイルを通じた個人情報の漏洩が阻止されます。

推奨事項

Appleは、すべてのユーザーに対し、iOS 26.1およびiPadOS 26.1をできるだけ早くインストールするよう強く推奨しています。同社は、ユーザーがパッチを適用する時間を確保するまで脆弱性の詳細を公開しないという方針を継続しており、これにより積極的な悪用によるリスクを最小限に抑えています。これらのセキュリティアップデートに関する完全な技術情報は、Appleの公式セキュリティサポートページに記載されています。

元記事: https://gbhackers.com/apple-patches-multiple-critical-flaw/