iOS18.6が配信開始！写真アプリの不具合修正と29件の脆弱性修正！早めに適用を！

本日AppleがiPhone XS以降のiPhone向けにiOS18.6を、iPad向けにiPadOS18.6の配信を開始しました。

今回のアップデートでは、“写真”でメモリームービーの共有ができない不具合の修正と、CVE番号ベースで29件の脆弱性修正も含まれます。ゼロデイ脆弱性こそありませんでしたが、重大な脆弱性修正も多数含まれているので、皆さん早急に適用しておきましょう。

iOS18.6 / iPadOS18.6以外にも、以下のアップデートも配信されています。こちらも該当するデバイスを利用している方は速やかに適用しておきましょう。

iOS18.6のアップデート内容

iOS18.6のアップデート内容は以下の通りです。

このアップデートには重要なバグ修正とセキュリティアップデートが含まれ、“写真”でメモリームービーの共有ができない可能性がある問題が修正されます。
Appleソフトウェアアップデートのセキュリティコンテンツについては、以下をご覧ください:
https://support.apple.com/ja-jp/100100

iOS18.6：セキュリティアップデートの内容

iOS18.6では、CVE番号ベースで29件の脆弱性が修正されています。

Accessibility

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: パスコードがVoiceOverによって読み上げられる可能性があります。
説明: チェックを強化することでロジックの問題を解決しました。
CVE-2025-31229: Wong Wee Xiang

Accessibility

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: マイクまたはカメラへのアクセスに関するプライバシーインジケーターが正しく表示されない可能性があります。
説明: この問題は、追加のロジックを追加することで解決されました。
CVE-2025-43217: Himanshu Bharti (@Xpl0itme)

afclip

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: ファイルを解析すると、アプリが予期せず終了する可能性があります。
説明: メモリ処理を強化することで、この問題を解決しました。
CVE-2025-43186: Hossein Lotfi (@hosselot) of Trend Micro Zero Day Initiative

CFNetwork

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 権限のないユーザーが制限されたネットワーク設定を変更できる可能性があります。
説明: 入力検証を強化することで、サービス拒否の問題が解決されました。
CVE-2025-43223: Andreas Jaegersberger & Ro Achterberg of Nosebeard Labs

CoreAudio

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意を持って作成されたオーディオファイルを処理すると、メモリ破損が発生する可能性があります。
説明: メモリ処理を強化することで、この問題を解決しました。
CVE-2025-43277: Google’s Threat Analysis Group

CoreMedia

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性があります。
説明: 境界チェックを改善することで、境界外アクセスの問題が解決されました。
CVE-2025-43210: Hossein Lotfi (@hosselot) of Trend Micro Zero Day Initiative

CoreMedia Playback

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: アプリがユーザーの機密データにアクセスできる可能性があります。
説明: この問題は、追加の権限チェックによって解決されました。
CVE-2025-43230: Chi Yuan Chang of ZUSO ART and taikosoup

ICU

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意を持って作成されたウェブコンテンツを処理すると、予期せぬ Safari クラッシュが発生する可能性があります。
説明: 境界チェックを改善することで、境界外アクセスの問題が解決されました。
CVE-2025-43209: Gary Kwong working with Trend Micro Zero Day Initiative

ImageIO

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性があります。
説明: 入力検証を強化することで、範囲外の読み取りに対処しました。
CVE-2025-43226

libnetcore

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: ファイルを処理するとメモリ破損が発生する可能性があります。
説明: この問題は、メモリ処理を強化することで解決されました。
CVE-2025-43202: Brian Carpenter

libxml2

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: ファイルを処理するとメモリ破損が発生する可能性があります。
説明：これはオープンソースコードの脆弱性であり、Apple Software も影響を受けるプロジェクトの一つです。CVE-ID は第三者によって割り当てられました。この問題と CVE-ID の詳細については、cve.orgをご覧ください。
CVE-2025-7425: Sergei Glazunov of Google Project Zero

libxslt

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が発生する可能性があります。
説明：これはオープンソースコードの脆弱性であり、Apple Software も影響を受けるプロジェクトの一つです。CVE-ID は第三者によって割り当てられました。この問題と CVE-ID の詳細については、cve.orgをご覧ください。
CVE-2025-7424: Ivan Fratric of Google Project Zero

Mail Drafts

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 「リモート画像の読み込み」設定がオフになっている場合でも、リモートコンテンツが読み込まれる可能性があります。
説明: この問題は、状態管理を改善することで解決されました。
CVE-2025-31276: Himanshu Bharti (@Xpl0itme)

Metal

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意を持って作成されたテクスチャを処理すると、アプリが予期せず終了する可能性があります。
説明: 入力検証を強化することで、複数のメモリ破損の問題が解決されました。
CVE-2025-43234: Vlad Stolyarov of Google’s Threat Analysis Group

Model I/O

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性があります。
説明: 境界チェックを改善することで、境界外アクセスの問題が解決されました。
CVE-2025-43224: Michael DePlante (@izobashi) of Trend Micro Zero Day Initiative
CVE-2025-43221: Michael DePlante (@izobashi) of Trend Micro Zero Day Initiative

Model I/O

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意のあるファイルを処理すると、アプリが予期せず終了する可能性があります。
説明: メモリ処理を強化し、入力検証の問題を解決しました。
CVE-2025-31281: Michael DePlante (@izobashi) of Trend Micro Zero Day Initiative

WebKit

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意のあるウェブサイトにアクセスすると、アドレスバーの偽装が行われる可能性があります。
説明: この問題は UI を改善することで解決されました。
WebKit Bugzilla: 294374
CVE-2025-43228: Jaydev Ahire

WebKit

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意のあるWebコンテンツを処理すると、機密性の高いユーザー情報が漏洩する可能性があります。
説明: この問題は、状態管理を改善することで解決されました。
WebKit Bugzilla: 292888
CVE-2025-43227: Gilad Moav

WebKit

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が発生する可能性があります。
説明: メモリ処理を強化することで、この問題を解決しました。
WebKit Bugzilla: 291742
CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu, and Xiaojie Wei
WebKit Bugzilla: 291745
CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu, and Xiaojie Wei
WebKit Bugzilla: 293579
CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu, and Xiaojie Wei

WebKit

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意を持って作成されたウェブコンテンツを処理すると、予期せぬ Safari クラッシュが発生する可能性があります。
説明: メモリ処理を強化することで、この問題を解決しました。
WebKit Bugzilla: 292599
CVE-2025-43214: shandikri working with Trend Micro Zero Day Initiative, Google V8 Security Team
WebKit Bugzilla: 292621
CVE-2025-43213: Google V8 Security Team
WebKit Bugzilla: 293197
CVE-2025-43212: Nan Wang (@eternalsakura13) and Ziling Chen

WebKit

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: Webコンテンツの処理によりサービス拒否が発生する可能性があります。
説明: メモリ処理を強化することで、この問題を解決しました。
WebKit Bugzilla: 293730
CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu, and Xiaojie Wei

WebKit

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意を持って作成されたWebコンテンツを処理すると、アプリの内部状態が公開される可能性があります。
説明: 入力検証を強化することで、範囲外の読み取りに対処しました。
WebKit Bugzilla: 294182
CVE-2025-43265: HexRabbit (@h3xr4bb1t) from DEVCORE Research Team

WebKit

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意を持って作成されたウェブコンテンツを処理すると、予期せぬ Safari クラッシュが発生する可能性があります。
説明: メモリ管理を改善し、解放済みメモリ使用の問題を解決しました。
WebKit Bugzilla: 295382
CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

対象機種: iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air 第3世代以降、iPad 第7世代以降、iPad mini 第5世代以降
影響: 悪意を持って作成されたウェブコンテンツを処理すると、予期せぬ Safari クラッシュが発生する可能性があります。
説明：これはオープンソースコードの脆弱性であり、Apple Software も影響を受けるプロジェクトの一つです。CVE-ID は第三者によって割り当てられました。この問題と CVE-ID の詳細については、cve.orgをご覧ください。
WebKit Bugzilla: 296459
CVE-2025-6558: Clément Lecigne and Vlad Stolyarov of Google’s Threat Analysis Group