AppleがiOS 26.5公開 カーネルやWebKitなど多数の脆弱性を修正、早期更新を：セキュリティニュースアラート

AppleはiOS 26.5とiPadOS 26.5を公開した。カーネル権限取得やメモリ破損、情報漏えい、Safari異常終了など多数の脆弱性に対処しており、WebKitやWi-Fi、Accountsなど広範囲の機能に修正を加えた。ユーザーには早期更新が求められる。

[ITmedia エンタープライズ編集部，ITmedia]

　Appleは2026年5月11日（現地時間）、「iOS 26.5」と「iPadOS 26.5」の配信を開始した。対象はiPhone 11以降、iPad Pro 12.9インチ（第3世代以降）、iPad Pro 11インチ（第1世代以降）、iPad Air（第3世代以降）、iPad（第8世代以降）、iPad mini（第5世代以降）で、OS内部に存在する多数の脆弱（ぜいじゃく）性を修正した。カーネル関連やWebKit、Wi-Fi、画像処理、ストレージ、権限管理など幅広い領域の問題を解消した。

root権限奪取やメモリ漏えいなど深刻な脆弱性に対処

　今回の更新で、カーネル領域に関する複数の脆弱性が修正した。アプリがroot権限を取得する恐れを持つ問題を修正した他、カーネルメモリの読み取りや書き込みにつながる不具合にも対応した。境界外書き込みやバッファーオーバーフロー、競合状態、use-after-freeなど、さまざまな問題に対処した。

WebKit

　WebKitの多数の問題が解消した。従来は細工されたWebコンテンツを開いた際、「Safari」が異常終了する恐れや、プロセス停止、情報漏えいに発展するリスクがあった。今回Appleは、入力検証やメモリ管理、アクセス制限の改善を実施した。Content Security Policyが回避される恐れのある脆弱性も修正対象した。悪意あるiframeが別サイトのダウンロード設定を利用できる問題にも対応した。

画像やメディア処理系統

　画像やメディア処理を担うImageIOやAppleJPEG、Audio、SceneKit、Model I/Oなどにおいて、複数の脆弱性が修正した。細工された画像や音声、メディアファイルを処理した際に、メモリ破損やアプリの強制終了を引き起こす恐れがあった。今回のアップデートでは、データの境界検査や入力検証の厳格化およびメモリ処理プロセスの改善を実施することで、これらの問題に対処した。

通信機能

　通信機能において、mDNSResponderやWi-Fi関連の不具合を修正した。ローカルネットワークの攻撃者がサービス停止を引き起こす危険や、特権的なネットワーク環境下で細工済みWi-Fiパケットを利用した攻撃を受けるリスクに対処した。攻撃者がIPアドレス経由でユーザーを追跡できる危険性も修正した。

プライバシー保護関連

　プライバシー保護関連の更新も多い。アプリが一部のプライバシー設定を回避できるリスクに制限強化を施した他、OSの各機能であるCoreAnimationやFileProvider、Storage、Shortcuts、WidgetKitなどでも、機密データ閲覧やロック画面での情報露出につながる問題へ修正を加えた。ステータスバーにおいて、アプリが利用者の画面を取得できる恐れに対応した。

スクリーンショット

　iPhone 15以降を対象としたスクリーンショット機能において、iPhoneミラーリング利用時にビジュアルインテリジェンス経由で機密データへアクセスされる恐れが確認された。Appleは脆弱なコードを削除したと説明した。

　近年のモバイルOSは、Webブラウザや通信、画像処理、AI支援機能など多機能化が進み、脆弱性発見件数も増加傾向にある。Appleは継続的な更新配信で対策を進めており、ユーザーへ最新OS適用を呼びかけた。企業利用端末か個人利用端末かを問わず、早期アップデートが安全確保に直結する。