iOS 26.1 / iPadOS 26.1(2025年11月3日公開)は、幅広いコンポーネントの脆弱性を修正しました。企業のDX現場はどの項目を優先して確認すべきか——対象モデルや代表的なCVEを整理し、影響把握の出発点を示します。
iOS 26.1で修正された主な脆弱性と現場の確認ポイント
iOS 26.1 / iPadOS 26.1は、アクセシビリティ、Appleアカウント、Apple Neural Engine、カメラ、クラウドキット、ファイルプロバイダ、サファリ/WebKit、カーネル、サンドボックスプロファイルなど多数の領域で脆弱を修正しています。リリースは2025年11月3日付で、対象は主にiPhone 11以降および各世代以降のiPadです。まずは自社で稼働中の端末が該当モデル・OSであるかを洗い出してください。
代表的な修正事例として、アクセシビリティのアクセス権問題(CVE-2025-43442)は追加の制限で対処され、他アプリの列挙リスクが低減されています。Appleアカウント関連では、埋め込みビューの機密情報がスクリーンショットされる可能性(CVE-2025-43455)に対してチェックの改善が行われました。Apple Neural Engineやカーネルに関するCVE(例:CVE-2025-43447、CVE-2025-43398)はメモリ処理の改善により、予期せぬプロセス終了やカーネルメモリ破損のリスクを軽減しています。
またWebKit/Safari周りでは、クロスオリジンの情報漏えいやクラッシュを招く脆弱性(例:CVE-2025-43480、CVE-2025-43458など)がチェック強化や状態管理の改善で修正され、悪意あるWebコンテンツによるデータ流出リスクが下げられています。ファイルプロバイダやクラウドキット、写真、連絡先、Mail下書きなどでは、シンボリックリンク検証、ログ記録・状態管理の改善、機密データ処理の修正が行われ(例:CVE-2025-43379、CVE-2025-43426、CVE-2025-43496)、アプリが保護されたユーザデータへ不正にアクセスするリスクやサンドボックス脱出の可能性が低減されています。
これらの修正はCVEごとに「チェックや検証の改善」「メモリ/状態管理の改善」「機密データの除去」などの対策方針で分類されており、修正作者(各研究者名)もリリースに明記されています。まずは自社の端末台帳と利用ケースを照合し、影響範囲を特定した上でアップデート適用計画を立てることが出発点です。
詳しくは「Apple」の公式ページまで。
レポート/DXマガジン編集部 權
