iOS  18.2およびiPadOS  18.2のセキュリティコンテンツについて

iOS 18.2およびiPadOS 18.2のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

iOS 18.2およびiPadOS 18.2

AppleMobileFileIntegrity

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意のあるアプリに、非公開の情報にアクセスされる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54526：Mickey Jin氏（@patch1t）、Arsenii Kostromin氏（0x3c3e）

AppleMobileFileIntegrity

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：この問題は、チェックを強化することで解決されました。

CVE-2024-54527：Mickey Jin氏（@patch1t）

Audio

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：通話を着信中に消音にしても、消音が有効にならない場合がある。

説明：ステート管理を改善し、ユーザインターフェイス不一致の脆弱性に対処しました。

CVE-2024-54503：Micheal Chukwu氏および匿名の研究者

Crash Reporter

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-54513：匿名の研究者

FontParser

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたフォントを処理すると、プロセスメモリが漏洩する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54486：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

ImageIO

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54500：Trend Micro Zero Day Initiativeに協力するJunsung Lee氏

Kernel

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：攻撃者が、読み取り専用のメモリマッピングを書き込み可能なものに改ざんできる可能性がある。

説明：検証を追加することで、競合状態に対処しました。

CVE-2024-54494：sohybbyk氏

Kernel

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリが重要なカーネル状態を漏洩させる可能性がある。

説明：ロック処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2024-54510：MIT CSAILのJoseph Ravichandran氏（@0xjprx）

Kernel

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-44245：匿名の研究者

libexpat

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：リモートの攻撃者により、アプリを突然終了されたり、任意のコードを実行されたりする可能性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを確認してください。

CVE-2024-45490

libxpc

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54514：匿名の研究者

libxpc

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：アプリに昇格した権限を取得される可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-44225：风沐云烟氏（@binary_fmyy）

Passwords

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：ネットワーク上で特権的な地位を利用した攻撃者に、ネットワークトラフィックを改ざんされる可能性がある。

説明：ネットワークで情報を送信する際はHTTPSを利用することで、この問題に対処しました。

CVE-2024-54492：Mysk Inc.（@mysk_co）のTalal Haj Bakry氏およびTommy Mysk氏

Safari

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：プライベートリレーが有効になっているデバイスでSafariリーディングリストにWebサイトを追加すると、発信元IPアドレスがWebサイトに漏洩する可能性がある。

説明：Safariからのリクエストのルーティングを強化することで、この問題に対処しました。

CVE-2024-44246：Jacob Braun氏

SceneKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたファイルを処理すると、サービス運用妨害を受ける可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54501：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

VoiceOver

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：iOSデバイスに物理的にアクセスできる攻撃者がロック画面で通知の内容を表示できる可能性がある。

説明：追加ロジックを追加することで、この問題に対処しました。

CVE-2024-54485：C-DAC Thiruvananthapuram（インド）のAbhay Kailasia氏（@abhay_kailasia）

WebKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54479：Seunghyun Lee氏

CVE-2024-54502：Google Project ZeroのBrendon Tiszka氏

WebKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-54508：HKUS3Labのlinjy氏およびWHUSecLabのchluo氏、Tencent Security YUNDING LABのXiangwei Zhang氏

WebKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。

説明：メモリ処理を強化し、型の取り違え（type confusion）の脆弱性に対処しました。

CVE-2024-54505：Gary Kwong氏

WebKit

対象：iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ（第3世代）以降、iPad Pro 11インチ（第1世代）以降、iPad Air（第3世代）以降、iPad（第7世代）以降、iPad mini（第5世代）以降

影響：悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-54534：Tashita Software Security

ご協力いただいたその他の方々

Accessibility

Lakshmi Narain College of Technology Bhopal IndiaのAbhay Kailasia氏（@abhay_kailasia）、Andr.Ess氏、Jake Derouin氏、Jason Gendron氏（@gendron_jason）のご協力に感謝いたします。

App Protection

Lakshmi Narain College of Technology Bhopal IndiaのAbhay Kailasia氏（@abhay_kailasia）のご協力に感謝いたします。

Calendar

Lakshmi Narain College of Technology Bhopal IndiaのAbhay Kailasia氏（@abhay_kailasia）のご協力に感謝いたします。

FaceTime

椰椰 氏のご協力に感謝いたします。

FaceTime Foundation

Joshua Pellecchia氏のご協力に感謝いたします。

Family Sharing

Lakshmi Narain College of Technology Bhopal India, J TのAbhay Kailasia（@abhay_kailasia）氏のご協力に感謝いたします。

Notes

Katzenfutter氏のご協力に感謝いたします。

Photos

Bistrit Dahal氏、ZUSO ARTおよびtaikosoupのChi Yuan Chang氏、Finlay James氏（@Finlay1010）、Rizki Maulana氏（rmrizki.my.id）、Srijan Poudel氏のご協力に感謝いたします。

Photos Storage

Jake Derouin氏（jakederouin.com）のご協力に感謝いたします。

Proximity

ジョージ・メイソン大学のJunming C.氏（@Chapoly1305）およびQiang Zeng教授のご協力に感謝いたします。

Quick Response

匿名の研究者のご協力に感謝いたします。

Safari

Jayateertha Guruprasad氏のご協力に感謝いたします。

Safari Private Browsing

Route Zero SecurityのRichard Hyunho Im氏（@richeeta）氏のご協力に感謝いたします。

Settings

Akshith Muddasani氏、Bistrit Dahal氏、Emanuele Slusarz氏のご協力に感謝いたします。

Siri

Srijan Poudel氏のご協力に感謝いたします。

Spotlight

LNCT BhopalおよびC-DAC Thiruvananthapuram IndiaのAbhay Kailasia氏（@abhay_kailasia）のご協力に感謝いたします。

Status Bar

Lakshmi Narain College of Technology Bhopal IndiaのAbhay Kailasia氏（@abhay_kailasia）、Andr.Ess氏のご協力に感謝いたします。

Swift

Marc Schoenefeld理学博士（Dr. rer. nat.）のご協力に感謝いたします。

Time Zone

LNCT BhopalおよびC-DAC Thiruvananthapuram IndiaのAbhay Kailasia氏（@abhay_kailasia）のご協力に感謝いたします。

WebKit

Hafiizh氏のご協力に感謝いたします。

WindowServer

Felix Kratz氏のご協力に感謝いたします。