iOS 18.7.9およびiPadOS 18.7.9のセキュリティコンテンツについて

iOS 18.7.9およびiPadOS 18.7.9のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

iOS 18.7.9およびiPadOS 18.7.9

Accounts

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：ステート管理を改善し、認証の脆弱性に対処しました。

CVE-2026-28877：Totally Not Malicious SoftwareのRosyna Keller氏

APFS

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。

CVE-2026-28959：Dave G.氏

App Intents

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意のあるアプリがサンドボックスを破って外部で実行される可能性がある。

説明：制限を強化し、ロジックの脆弱性に対処しました。

CVE-2026-28995：Vamshi Paili氏、Reverse SocietyのTony Gorez氏（@tonygo_）

Audio

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意を持って作成されたメディアファイルでオーディオストリームを処理すると、プロセスが終了する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-39869：Beryllium SecurityのDavid Ige氏

Calendar

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：リモートの攻撃者からサービス運用妨害を受ける可能性がある。

説明：入力検証を強化し、リソース枯渇の問題に対処しました。

CVE-2026-28872：Alvin Aries Tapia氏

Calling Framework

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：リモートの攻撃者からサービス運用妨害を受ける可能性がある。

説明：入力検証を強化し、サービス運用妨害の脆弱性に対処しました。

CVE-2026-28894：匿名の研究者

CoreServices

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2026-28936：Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏

FileProvider

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：検証を追加することで、競合状態に対処しました。

CVE-2026-43659：Alex Radocea氏

GeoServices

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：検証を強化することで、情報漏洩に対処しました。

CVE-2026-28870：XiguaSec

ImageIO

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：配列境界チェック機能を改善することで、この問題に対処しました。

CVE-2026-28977：Suresh Sundaram氏

IOHIDFamily

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：攻撃者にアプリを突然終了される可能性がある。

説明：ロック処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2026-28992：Johnny Franks氏（@zeroxjf）

IOHIDFamily

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリがカーネルメモリのレイアウトを判断できる可能性がある。

説明：データの墨消しを改善することでログ入力の問題に対処しました。

CVE-2026-28943：Google Threat Analysis Group

IOKit

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2026-28969：Mihalis Haatainen氏、Ari Hawking氏、Ashish Kunwar氏

Kernel

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリがカーネルメモリを漏洩させる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-43654：Vaagn Vardanian氏、Nathaniel Oh氏（@calysteon）

Kernel

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意を持って作成されたディスクイメージにGatekeeperのチェックを回避される可能性がある。

説明：チェックを追加し、ファイルの隔離の回避に対処しました。

CVE-2026-28954：Yiğit Can YILMAZ氏（@yilmazcanyigit）

Kernel

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：ローカルユーザにシステムを突然終了されたり、カーネルメモリを読み取られる可能性がある。

説明：入力検証を強化することで、バッファオーバーフローに対処しました。

CVE-2026-28897：Robert Tran氏、popku1337氏、STAR Labs SG Pte. Ltd.のBilly Jheng Bing Jhong氏とPan ZhenPeng氏（@Peterpan0927）、Aswin kumar Gokulakannan氏

Kernel

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：入力検証を強化することで、整数オーバーフローに対処しました。

CVE-2026-28952：ClaudeおよびAnthropic Researchに協力するCalif.io

Kernel

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリがルート権限を取得できる可能性がある。

説明：ステート管理を改善し、認証の脆弱性に対処しました。

CVE-2026-28951：IruのCsaba Fitzl氏（@theevilbit）

Kernel

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。

説明：入力検証を強化することで、領域外書き込みの脆弱性に対処しました。

CVE-2026-28972：STAR Labs SG Pte. Ltd.のBilly Jheng Bing Jhong氏とPan ZhenPeng氏（@Peterpan0927）、Ryan Hileman氏（Xint Code（xint.io）経由で報告）

Kernel

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：検証を追加することで、競合状態に対処しました。

CVE-2026-28986：Talence SecurityのTristan Madani氏（@TristanInSec）、Ryan Hileman氏（Xint Code（xint.io）経由で報告）、Chris Betz氏

Kernel

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリが重要なカーネル状態を漏洩させる可能性がある。

説明：データの墨消しを改善することでログ入力の問題に対処しました。

CVE-2026-28987：Dhiyanesh Selvaraj氏（@redroot97）

LaunchServices

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：リモートの攻撃者から、サービス運用妨害を受ける可能性がある。

説明：チェックを強化し、型の取り違え（type confusion）の脆弱性に対処しました。

CVE-2026-28983：Ruslan Dautov氏

libxpc

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリが、ユーザがインストールしたアプリを特定できる可能性がある。

説明：この問題は、チェックを強化することで解決されました。

CVE-2026-28882：Ilya Andr氏（andrd3v）、Voynich GroupのIlias Morad氏（A2nkF）、Duy Trần氏（@khanhduytran0）、@hugeBlack氏

Mail Drafts

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：ロックダウンモードで、メールに返信するとメールアプリにサーバ上の画像が表示される可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2026-28929：Yiğit Can YILMAZ氏（@yilmazcanyigit）

mDNSResponder

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：ローカルネットワーク上の攻撃者からサービス運用妨害を受ける可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-43653：Atul R V氏

mDNSResponder

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：リモートの攻撃者にシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2026-43668：Ricardo Prado氏、Anton Pakhunov氏

mDNSResponder

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：ローカルネットワーク上の攻撃者からサービス運用妨害を受ける可能性がある。

説明：配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。

CVE-2026-43666：Ian van der Wurff氏（ian.nl）

Model I/O

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意を持って作成された画像を処理すると、プロセスメモリが破損する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-28940：TrendAI Zero Day InitiativeのMichael DePlante氏（@izobashi）

Model I/O

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意を持って作成された ファイルを処理すると、サービス運用妨害を受ける可能性や、メモリのコンテンツが漏洩する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2026-28941：TrendAI Zero Day InitiativeのMichael DePlante氏（@izobashi）

Networking

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：攻撃者がユーザのIPアドレスを悪用して、ユーザをトラッキングできる可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2026-28906：Ilya Sc. Jowell A.氏

Privacy

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリがアプリプライバシーレポートのログ記録を回避できる可能性がある。

説明：この問題は、追加のエンタイトルメントチェックを設けることで解決されました。

CVE-2026-28873：Guy Dor氏

Quick Look

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意を持って作成されたファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：入力検証を強化することで、領域外書き込みの脆弱性に対処しました。

CVE-2026-43656：Peter Malone氏

SceneKit

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：リモート攻撃者にアプリを突然終了される可能性がある。

説明：配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。

CVE-2026-28846：Peter Malone氏

Shortcuts

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。

CVE-2026-28993：Doron Assness氏

Siri

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリが権限を昇格させることが可能な場合がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

Status Bar

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリがユーザの画面をキャプチャできる可能性がある。

説明：アプリからカメラのメタデータへのアクセスに問題がありましたが、ロジックを改良してこの問題に対処しました。

CVE-2026-28957：Adriatik Raci氏

WebKit

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意を持って作成されたWebコンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。

説明：入力検証を強化することで、この問題に対処しました。

CVE-2026-28907：Cantina

WebKit

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意を持って作成されたWebコンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。

説明：ロジックを改良し、検証の脆弱性に対処しました。

CVE-2026-43660：Cantina

WebKit

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2026-28847：DARKNAVY氏（@DarkNavyOrg）、Daniel Rhea氏、TrendAI Zero Day Initiativeに協力する匿名の研究者

CVE-2026-28904：Luka Rački氏

CVE-2026-28903：Mateusz Krzywicki氏（iVerify.io）

CVE-2026-28955：TrendAI Zero Day Initiativeに協力するwac氏およびKookhwan Lee氏

CVE-2026-28953：Maher Azzouzi氏

WebKit

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意を持って作成されたWebコンテンツを処理すると、ユーザの機微情報が漏洩する可能性がある。

説明：アクセス制限を改善することで、この問題に対処しました。

CVE-2026-28962：Vitaly Simonovich氏、Vaagn Vardanian氏、Luke Francis氏、kwak kiyong氏／kakaogames、greenbynox氏、Adel Bouachraoui氏

WebKit

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：入力検証を強化することで、この問題に対処しました。

CVE-2026-28917：Vitaly Simonovich氏

Wi-Fi

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明：配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。

CVE-2026-28819：Wang Yu氏

Wi-Fi

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：ネットワーク上で特権的な地位を悪用した攻撃者が、細工したWi-Fiパケットを使ってサービス運用妨害を仕掛けてくる可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2026-28994：Alex Radocea氏

zlib

対象OS：iPhone XS、iPhone XS Max、iPhone XR、iPad（第7世代）

影響：悪意を持って作成されたWebサイトにアクセスすると、重要なデータが漏洩する可能性がある。

説明：検証を強化することで、情報漏洩に対処しました。

CVE-2026-28920：Google Project ZeroのBrendon Tiszka氏

ご協力いただいたその他の方々

Kernel

Ryan Hileman氏（Xint Code（xint.io）経由で報告）のご協力に感謝いたします。

Location

Kun Peeks氏（@SwayZGl1tZyyy）のご協力に感謝いたします。

Managed Configuration

kado氏のご協力に感謝いたします。

Messages

Bishal Kafle氏のご協力に感謝いたします。

Multi-Touch

Asaf Cohen氏のご協力に感謝いたします。