2025年11月、Appleはプロ向け動画エンコードツールCompressorに対する重要なセキュリティアップデートと、iOS 26.1およびiPadOS 26.1における多数のセキュリティ修正をリリースしました。これらのアップデートは、悪意のある攻撃者によるリモートコード実行や、ユーザーの個人情報が漏洩する可能性など、深刻な脆弱性に対処するものです。ユーザーは速やかにアップデートを適用し、デバイスを保護することが推奨されます。
Compressorのアップデート4.11.1では、ネットワーク経由でCompressorサーバーに接続しているユーザーが、同一ネットワーク上の認証されていないユーザーによってリモートでコードを実行される可能性があるという脆弱性(CVE-2025-43515)が修正されました。この脆弱性は、macOS Sequoia 15.6以降の環境で確認されています。Appleは、デフォルト設定を変更することで、外部からの接続を拒否する対策を講じています。
iOS 26.1およびiPadOS 26.1では、Apple Account、Photos、Safariなど、広範囲にわたるセキュリティ上の問題が修正されています。これらのアップデートには、Stolen Device Protectionを無効化できる問題、WebKitのバグによる不正なキーストローク監視、その他多数の脆弱性への対策が含まれています。これらの修正は、iPhone 11以降、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第8世代)以降、iPad mini(第5世代)以降のデバイスに適用されます。
これらのアップデートは、ユーザーのデバイスとデータを保護するために不可欠です。Appleは、常に最新のセキュリティアップデートを適用することを推奨しています。アップデートは、設定アプリから「一般」>「ソフトウェアアップデート」を選択することで実行できます。
Compressorのリモートコード実行脆弱性(CVE-2025-43515)の詳細
Compressor 4.11.1で修正されたリモートコード実行の脆弱性(CVE-2025-43515)は、Compressorのネットワークベースのサーバー機能が有効になっている場合に悪用される可能性があります。この脆弱性を悪用するには、攻撃者はCompressorサーバーと同じネットワークに存在する必要があります。脆弱性の発見者はCodeColoristとPedro Tôrres(@t0rr3sp3dr0)です。
Appleは、この脆弱性に対する修正として、デフォルトで外部接続を拒否するようにCompressorの設定を変更しました。これは、根本的な脆弱性自体を修正するのではなく、設定を変更することでリスクを軽減するアプローチです。しかし、攻撃者が古いバージョンのCompressorを標的にする可能性があるため、できるだけ早くアップデートを適用することが重要です。
この脆弱性の影響を受けるのは、macOS Sequoia 15.6以降の環境でCompressorのサーバー機能を有効にしているユーザーに限られます。しかし、同一ネットワーク上に悪意のあるユーザーが存在する場合、リモートでコードを実行されるリスクがあるため、注意が必要です。
Appleは、この脆弱性に関する詳細な情報をセキュリティアップデートのリリースノートで公開しています。ユーザーは、これらの情報を確認し、必要な対策を講じることが推奨されます。
iOS/iPadOS 26.1のセキュリティアップデート:50件以上の脆弱性に対処
iOS 26.1およびiPadOS 26.1では、50件以上のセキュリティ脆弱性が修正されました。これらの脆弱性は、Apple Account、Photos、Safariなど、さまざまなシステムコンポーネントに影響を与えます。アップデートには、個人情報への不正アクセス、システムの予期しない終了、カーネルメモリの破損など、深刻な問題への対策が含まれています。
主な修正点としては、Stolen Device Protectionを無効化できる問題(CVE-2025-43422)、WebKitのバグによる不正なキーストローク監視(CVE-2025-43495)、悪意のあるアプリケーションが他のアプリケーションのインストール状況を識別できる問題(CVE-2025-43442、CVE-2025-43436)などが挙げられます。
また、Apple Neural Engineにおけるメモリ管理の問題(CVE-2025-43447、CVE-2025-43462)、Apple TV Remoteにおけるユーザー追跡の問題(CVE-2025-43449)、FileProviderにおけるユーザーデータへの不正アクセス(CVE-2025-43379)なども修正されています。
Safariにおいては、悪意のあるウェブサイトによるアドレスバーの偽装(CVE-2025-43493)や、ユーザーインターフェースの偽装(CVE-2025-43503)といった問題が修正されました。WebKitにおいては、クロスオリジンでのデータ窃取(CVE-2025-43480)や、悪意のあるウェブコンテンツによるプロセスのクラッシュ(CVE-2025-43458、CVE-2025-43430、CVE-2025-43427、CVE-2025-43443、CVE-2025-43441、CVE-2025-43435、CVE-2025-43425、CVE-2025-43440)など、多数の問題が解決されています。
WebKitの脆弱性と攻撃の可能性
iOS 26.1およびiPadOS 26.1のアップデートで特に注目されるのは、WebKitに関連する多数の脆弱性です。WebKitは、Safariブラウザやその他のアプリケーションでウェブコンテンツを表示するために使用されるエンジンであり、その脆弱性は広範囲に影響を及ぼす可能性があります。
これらの脆弱性を悪用することで、攻撃者は悪意のあるウェブサイトを通じてユーザーのデバイスに侵入し、個人情報を盗んだり、マルウェアをインストールしたり、デバイスを制御したりすることができます。例えば、クロスオリジンでのデータ窃取(CVE-2025-43480)の脆弱性を利用すると、攻撃者は異なるウェブサイト間でデータを不正に取得することができます。
また、悪意のあるウェブコンテンツによるプロセスのクラッシュ(CVE-2025-43458、CVE-2025-43430、CVE-2025-43427など)の脆弱性を利用すると、攻撃者はSafariブラウザを強制終了させたり、システムを不安定にしたりすることができます。さらに、メモリ corruption(CVE-2025-43433、CVE-2025-43431)やバッファオーバーフロー(CVE-2025-43429)の脆弱性を利用すると、攻撃者はシステムメモリを破壊し、任意のコードを実行することができます。
これらの脆弱性に対処するために、AppleはWebKitのコードを修正し、セキュリティチェックを強化しました。しかし、攻撃者は常に新しい脆弱性を探しているため、ユーザーは常に最新のセキュリティアップデートを適用し、安全なウェブブラウジングを心がける必要があります。
個人情報保護とプライバシー関連の修正
iOS 26.1およびiPadOS 26.1のアップデートには、個人情報保護とプライバシーに関連する多数の修正が含まれています。これらの修正は、アプリケーションがユーザーの個人情報に不正にアクセスしたり、ユーザーを追跡したりするのを防ぐことを目的としています。
例えば、Apple Accountに関連する脆弱性(CVE-2025-43455)を修正することで、悪意のあるアプリケーションが埋め込みビュー内の機密情報のスクリーンショットを不正に取得するのを防ぎます。また、Apple TV Remoteに関連する脆弱性(CVE-2025-43449)を修正することで、悪意のあるアプリケーションがユーザーを追跡するのを防ぎます。
さらに、Find Myに関連する脆弱性(CVE-2025-43507)を修正することで、アプリケーションがユーザーをフィンガープリントするのを防ぎます。Photosに関連する脆弱性(CVE-2025-43391)を修正することで、アプリケーションが一時ファイルを不正に処理し、ユーザーの個人情報にアクセスするのを防ぎます。
これらの修正は、ユーザーのプライバシーを保護するために不可欠です。Appleは、常にユーザーのプライバシーを最優先事項としており、今後もセキュリティアップデートを通じてプライバシー保護を強化していくことが期待されます。
ユーザーへの推奨事項と今後の展望
Appleは、CompressorユーザーとiOS/iPadOSユーザーに対して、速やかに最新のアップデートを適用することを強く推奨しています。これらのアップデートには、悪意のある攻撃者によるリモートコード実行や、ユーザーの個人情報が漏洩する可能性など、深刻な脆弱性に対する修正が含まれています。
Compressorユーザーは、Compressor 4.11.1にアップデートすることで、ネットワーク経由でのリモートコード実行の脆弱性(CVE-2025-43515)から保護されます。iOS/iPadOSユーザーは、iOS 26.1およびiPadOS 26.1にアップデートすることで、50件以上のセキュリティ脆弱性から保護されます。
アップデートは、設定アプリから「一般」>「ソフトウェアアップデート」を選択することで実行できます。アップデートを適用する前に、デバイスのバックアップを作成することを推奨します。また、常に最新のセキュリティ情報を確認し、安全なデバイス利用を心がけることが重要です。
Appleは、今後もセキュリティアップデートを通じて、ユーザーのデバイスとデータを保護していくことが期待されます。ユーザーは、常に最新のセキュリティ情報を確認し、必要な対策を講じることで、安全なデジタルライフを送ることができます。
参考情報
本記事は以下の情報源を参考に作成されました:
- -If you’re a Compressor user, you should really get the latest update - https://9to5mac.com/2025/11/13/compressor-security-update-macos/
- -iOS 26.1 and iPadOS 26.1 bring multiple critical security fixes - https://9to5mac.com/2025/11/03/ios-26-1-ipados-26-1-security-fixes/