アップル、iPhone標的型攻撃に悪用された2つのゼロデイを修正

アップルは、特定の標的のiPhoneに対する「極めて巧妙な攻撃」に使用された2つのゼロデイ脆弱性を修正する緊急セキュリティアップデートを公開した。

2つの脆弱性はCoreAudio（CVE-2025-31200）とRPAC（CVE-2025-31201）で、どちらのバグもiOS、macOS、tvOS、iPadOS、visionOSに影響を与える。

「Appleは、この問題がiOS上の特定の標的を狙った極めて巧妙な攻撃に悪用された可能性があるという報告を認識している」と、本日発表されたAppleのセキュリティ情報には記されている。

CoreAudioのCVE-2025-31200の欠陥は、AppleとGoogle脅威分析チームによって発見された。この欠陥は、悪意を持って細工されたメディアファイル内のオーディオストリームを処理することによって悪用され、デバイス上でリモートコードを実行される可能性がある。

同社はまた、Appleが発見したCVE-2025-31201を修正した。これはRPACのバグで、読み取りまたは書き込みアクセス権を持つ攻撃者が、メモリの脆弱性から保護するiOSのセキュリティ機能であるPointer Authentication（PAC）をバイパスすることを可能にする。

Appleは、これらの欠陥が攻撃でどのように悪用されたかについて、さらなる詳細を共有していない。AppleとGoogleに欠陥に関する質問を問い合わせたが、回答は得られていない。

これらのゼロデイによって影響を受けるデバイスのリストは広範囲に及び、古いモデルから新しいモデルまで影響を受ける：

iPhone XS以降
iPad Pro 13インチ、iPad Pro 13.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第7世代以降、iPad mini第5世代以降。
macOS Sequoia
Apple TV HDおよびApple TV 4K（全モデル）
Apple Vision Pro

これらのゼロデイ欠陥は高度な標的型攻撃で悪用されたとはいえ、ユーザーはできるだけ早くインストールするよう強く推奨される。

これらの脆弱性により、アップルは今年に入ってから1月（CVE-2025-24085）、2月（CVE-2025-24200）、3月（CVE-2025-24201）と5件のゼロデイを修正したことになる。

Comments