Appleは、iPhoneユーザーを狙った攻撃で積極的に悪用されている今年初のゼロデイ脆弱性を修正するセキュリティアップデートをリリースした。

本日修正されたゼロデイ脆弱性は、CVE-2025-24085(iOS/iPadOSmacOStvOSwatchOSvisionOS)として追跡されており、AppleのCore Mediaフレームワークにおける特権昇格のセキュリティ欠陥です。

「悪意のあるアプリケーションが特権を昇格させる可能性があります。Appleは、この問題がiOS 17.2より前のバージョンのiOSに対して積極的に悪用された可能性があるという報告を認識している」とAppleは本日発表した。

同社の公式文書によると、Core Mediaは「AVFoundationおよびAppleプラットフォームで見られるその他の高レベルのメディアフレームワークで使用されるメディアパイプラインを定義しています」。

アップルはiOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3、visionOS 2.3、tvOS 18.3において、メモリ管理を改善することでCVE-2024-23222を修正した。

このゼロデイによって影響を受けるデバイスのリストは、バグが古いモデルから新しいモデルまで影響するため、かなり広範囲に及ぶ:

  • iPhone XS以降
  • iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第7世代以降、iPad mini第5世代以降。
  • macOS Sequoia
  • Apple Watch Series 6以降
  • Apple TV HDおよびApple TV 4K(全モデル)

アップルは、このセキュリティ脆弱性の発見をセキュリティ研究者の仕業としておらず、攻撃に関する詳細も公表していない。

このゼロデイバグは標的型攻撃でのみ悪用された可能性が高いが、現在進行中の攻撃の可能性を阻止するため、本日のセキュリティアップデートをできるだけ早くインストールすることを強くお勧めする。

昨年、同社は1月に1つ目3月に2つ目5月に4つ目11月にさらに2つ目と、合計6つのゼロデイを修正した、

その1年前の2023年、アップルは、野生で悪用される20のゼロデイ欠陥を修正した: