本日AppleがiOS26.4の配信を開始しましたが、併せて旧モデル向けにもアップデートの配信を開始しています。
iPhone XS以降以降のモデル向けにiOS 18.7.7が配信されており、重要なセキュリティ修正が含まれ、すべてのユーザーに適用が推奨されています。なお、今回はCVE番号ベースで25件の脆弱性修正がありました。
ゼロデイ脆弱性こそありませんでしたが、iOS18を利用中のiPhoneユーザーは早急にアップデートを適用しておきましょう。
iOS18.7.7のアップデート内容
iOS18.7.7のアップデート内容は以下の通り。
このアップデートには重要なセキュリティ修正が含まれ、すべてのユーザに推奨されます。
Appleソフトウェアアップデートのセキュリティコンテンツについては、以下のWebサイトをご覧ください:
https://support.apple.com/ja-jp/100100
iOS18.7.7にて修正された脆弱性/セキュリティアップデートの内容
iOS18.7.7では、CVE番号ベースで25件の脆弱性修正がありました。
802.1X
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:ネットワーク上の特権的な立場にある攻撃者は、ネットワークトラフィックを傍受できる可能性がある。
- 説明:状態管理の改善により、認証に関する問題が解決されました。
- CVE-2026-28865: Héloïse Gollier and Mathy Vanhoef (KU Leuven)
AppleKeyStore
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:アプリが予期しないシステム終了を引き起こす可能性があります
- 説明:メモリ管理の改善により、解放済みメモリ使用の問題が解決されました。
- CVE-2026-20637: Johnny Franks (zeroxjf), an anonymous researcher
Audio
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:悪意を持って作成されたウェブコンテンツを処理すると、予期しないプロセスクラッシュが発生する可能性があります。
- 説明:メモリ管理の改善により、解放済みメモリ使用(use-after-free)の問題が解決されました。
- CVE-2026-28879: Justin Cohen of Google
Clipboard
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:アプリが機密性の高いユーザーデータにアクセスできる可能性がある
- 説明:この問題は、シンボリックリンクの検証機能を改善することで解決されました。
- CVE-2026-28866: Cristian Dinca (icmd.tech)
CoreMedia
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:悪意を持って作成されたメディアファイル内のオーディオストリームを処理すると、処理が終了する可能性があります。
- 説明:境界チェックを改善することで、境界外アクセスに関する問題を解決しました。
- CVE-2026-20690: Hossein Lotfi (@hosselot) of Trend Micro Zero Day Initiative
CoreUtils
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:ネットワーク上の特権的な立場にあるユーザーが、サービス拒否攻撃を引き起こす可能性がある。
- 説明:入力検証の改善により、ヌルポインタの逆参照に対処しました。
- CVE-2026-28886: Etienne Charron (Renault) and Victoria Martini (Renault)
Crash Reporter
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:アプリがユーザーのインストール済みアプリを列挙できる可能性がある
- 説明:プライバシーに関する問題に対処するため、機密データを削除しました。
- CVE-2026-28878: Zhongcheng Li from IES Red Team
curl
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:curlに問題があり、意図せず誤った接続を介して機密情報が送信される可能性があります。
- 説明:これはオープンソースコードの脆弱性であり、Apple Softwareも影響を受けるプロジェクトの一つです。CVE-IDは第三者機関によって割り当てられました。この問題とCVE-IDの詳細については、cve.orgをご覧ください。
- CVE-2025-14524
DeviceLink
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:アプリが機密性の高いユーザーデータにアクセスできる可能性がある
- 説明:ディレクトリパスの処理における解析上の問題が、パス検証の改善によって解決されました。
- CVE-2026-28876: Andreas Jaegersberger & Ro Achterberg of Nosebeard Labs
Focus
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:アプリが機密性の高いユーザーデータにアクセスできる可能性がある
- 説明:ログ記録に関する問題が、データマスキングの改善によって解決されました。
- CVE-2026-20668: Kirin (@Pwnrin)
iCloud
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:アプリがユーザーのインストール済みアプリを列挙できる可能性がある
- 説明:権限に関する問題に対処するため、追加の制限措置が講じられました。
- CVE-2026-28880: Zhongcheng Li from IES Red Team
ImageIO
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:悪意を持って作成されたファイルを処理すると、予期しないアプリの終了につながる可能性があります。
- 説明:これはオープンソースコードの脆弱性であり、Apple Softwareも影響を受けるプロジェクトの一つです。CVE-IDは第三者機関によって割り当てられました。この問題とCVE-IDの詳細については、cve.orgをご覧ください。
- CVE-2025-64505
iTunes Store
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:iOSデバイスに物理的にアクセスできるユーザーは、アクティベーションロックを回避できる可能性があります。
- 説明:パス処理に関する問題が、検証機能の改善によって解決されました。
- CVE-2025-43534: iG0x72 and JJ of XiguaSec, Lehan Dilusha Jayasinghe
Kernel
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:アプリがカーネルメモリを漏洩する可能性がある
- 説明:ログ記録に関する問題が、データマスキングの改善によって解決されました。
- CVE-2026-28868: 이동하 (Lee Dong Ha of BoB 0xB6)
Kernel
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:アプリが機密性の高いカーネル状態を漏洩する可能性がある
- 説明:この問題は、認証機能の改善によって解決されました。
- CVE-2026-28867: Jian Lee (@speedyfriend433)
Kernel
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:アプリが予期しないシステム終了を引き起こしたり、カーネルメモリに書き込みを行ったりする可能性があります。
- 説明:メモリ管理の改善により、解放済みメモリ使用の問題が解決されました。
- CVE-2026-20687: Johnny Franks (@zeroxjf)
mDNSResponder
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:アプリが機密性の高いカーネル状態を漏洩する可能性がある
- 説明:この問題は、認証機能の改善によって解決されました。
- CVE-2026-28867: Jian Lee (@speedyfriend433)
Security
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:ローカル攻撃者がユーザーのキーチェーンアイテムにアクセスできる可能性があります
- 説明:この問題は、権限チェックの改善によって解決されました。
- CVE-2026-28864: Alex Radocea
UIFoundation
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:アプリがサービス拒否攻撃を引き起こす可能性がある
- 説明:入力検証の改善により、スタックオーバーフローの問題に対処しました。
- CVE-2026-28852: Caspian Tarafdar
Vision
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:悪意を持って作成されたファイルを解析すると、予期しないアプリの終了につながる可能性があります。
- 説明:メモリ処理の改善により、この問題は解決されました。
- CVE-2026-20657: Andrew Becker
WebKit
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:悪意を持って作成されたウェブコンテンツを処理した場合、コンテンツセキュリティポリシーが適用されない可能性があります。
- 説明:この問題は、状態管理の改善によって解決されました。
- WebKit Bugzilla: 304951
CVE-2026-20665: webb
WebKit
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:悪意を持って作成されたウェブコンテンツの処理により、同一オリジンポリシーが回避される可能性がある
- 説明:ナビゲーションAPIにおけるクロスオリジン問題が、入力検証の改善によって解決されました。
- WebKit Bugzilla: 306050
CVE-2026-20643: Thomas Espach
WebKit
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:プライベートリレーが有効になっている場合、リモートの攻撃者が漏洩したDNSクエリを閲覧できる可能性があります。
- 説明:状態管理の改善により、論理的な問題が解決されました。
- WebKit Bugzilla: 295943
CVE-2025-43376: Mike Cardwell of grepular.com, Bob Lord
WebKit
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:悪意のあるウェブサイトが、他のオリジン向けに作成されたスクリプトメッセージハンドラにアクセスできる可能性があります。
- 説明:状態管理の改善により、論理的な問題が解決されました。
- WebKit Bugzilla: 307014
CVE-2026-28861: Hongze Wu and Shuaike Dong from Ant Group Infrastructure Security Team
WebKit
- 対応機種:iPhone XS、iPhone XS Max、iPhone XR、iPad(第7世代)
- 影響:悪意を持って作成されたウェブサイトにアクセスすると、クロスサイトスクリプティング攻撃を受ける可能性があります。
- 説明:ロジック上の問題が、チェック機能の改善によって解決されました。
- WebKit Bugzilla: 305859
CVE-2026-28871: @hamayanhamayan
コメント