アップルは例によって、攻撃者に詳細が渡る前にユーザーが対策を取れるよう、iOS 26.5.2で修正された脆弱性の詳細をほとんど明らかにしていない。iPhoneユーザーがアップデートする時間をできるだけ確保するためである。
幸いにも、今回修正されたバグが実際の攻撃に悪用された事例はまだ確認されていない。しかし、アップルのサポートページによると、iOS 26.5.2で修正された問題の中には深刻なものも含まれている。iOSオペレーティングシステムの中核である「カーネル」に関する脆弱性が3件、アップルのSafariブラウザを支えるエンジンである「WebKit」に関する脆弱性が24件含まれており、極めて深刻な内容だ。
iOS 26.5.2を実行できるiPhone──iOS 18向けアップデートはない
アップルのiOS 26.5.2およびiPadOS 26.5.2は、iPhone 11以降、iPad Pro 12.9インチ(第3世代)以降、iPad Pro 11インチ(第1世代)以降、iPad Air(第3世代)以降、iPad(第8世代)以降、iPad mini(第5世代)以降で利用できる。
重要なのは、旧型iPhone向けであるiOS 18のアップデートが存在しないという点であり、これはセキュリティ修正の対象が最新OSに限定されつつあることを示唆している。つまり、安全を確保するためには最新のiOS 26系へのアップデートが不可欠だということだ。
iOS 26.5.2と並行して、アップルはmacOS Tahoe 26.5.2とSafari 26.5.2も配信し、Mac向けに十数件のWebKitの欠陥を修正した。
AIを用いて発見されたWebKitの欠陥
興味深いことに、iOS 26.5.2で修正されたWebKitのバグの一部は、AIを用いて発見されたものとみられる。その中には、Calif.ioのトゥアンとドゥック、およびOpenAIのセキュリティエージェントであるCodex Securityの研究者エイミー・バーネットとエヴァン・ランバートによって報告されたCVE-2026-43716が含まれる。
修正されたもう一つのWebKitのバグはCVE-2026-43707で、これはメモリ破壊の問題であり、同じくOpenAIのCodex Securityのエイミー・バーネットによって報告された。
ボイントンは、iOS 26.5.2で修正されたWebKitの問題は特に深刻だと考えている。「WebKitはSafariだけのものではなく、他のiOSアプリ内でウェブコンテンツを表示するエンジンでもあるのです。だからこれらの欠陥は、ブラウザだけでなく、リンクが開かれるほぼあらゆる場所で到達可能なのです」と彼は説明する。


