アップルは、先月古いiPhoneとiPad向けにリリースしたパッチをバックポートするセキュリティ・アップデートをリリースし、「極めて巧妙な」攻撃に悪用されたゼロデイ・バグに対処した。
このセキュリティ欠陥は、アップルが20日にiOS 18.6.2およびiPadOS 18.6.2、iPadOS 17.7.10、macOS(Sequoia 15.6.1、Sonoma 14.7.8、Ventura 13.7.8)を実行しているデバイスに対してパッチを適用したものと同じものだ。
CVE-2025-43300として追跡されているこの脆弱性は、Appleのセキュリティ研究者によって発見されたもので、アプリが画像ファイル形式を読み書きできるようにするImage I/Oフレームワークにおける境界外書き込みの脆弱性が 原因です。
境界外書き込みは、攻撃者が悪意を持って細工した入力をプログラムに与えることで発生し、割り当てられたメモリバッファの外側にデータを書き込ませることで、クラッシュの引き金となったり、データを破壊したり、リモートでコードを実行されたりする可能性があります。
Appleは現在、iOS 15.8.5 / 16.7.12およびiPadOS 15.8.5 / 16.7.12において、境界チェックを改善することで、このゼロデイ欠陥に対処しています。
「悪意のある画像ファイルを処理すると、メモリ破壊が発生する可能性があります。境界チェックの改善により、境界外書き込みの問題に対処しました。
「Appleは、この問題が特定の標的を絞った極めて巧妙な攻撃に悪用された可能性があるという報告を承知しています。
この脆弱性の影響を受けるデバイスのリストは非常に広範で、このバグは以下のような幅広い旧モデルに影響を及ぼしている:
- iPhone 6s(全モデル)、iPhone 7(全モデル)、iPhone SE(第1世代)、iPhone 8、iPhone 8 Plus、iPhone X、
- iPad Air 2、iPad mini(第4世代)、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ第1世代、iPod touch(第7世代)
8月下旬、WhatsAppはiOSとmacOSのメッセージング・クライアントに存在するゼロクリック脆弱性(CVE-2025-55177)にパッチを適用した。この脆弱性は、同社が “極めて巧妙 “と説明する標的型攻撃において、AppleのゼロデイCVE-2025-43300と連鎖していた。
AppleとWhatsAppは、2つの脆弱性を連鎖させた攻撃に関する詳細をまだ発表していないが、Amnesty Internationalのセキュリティ・ラボの責任者であるDonncha Ó Cearbhaill氏は、WhatsAppが高度なスパイウェア・キャンペーンで彼らのデバイスが標的にされたと一部のユーザーに警告したと述べた。
サムスンも先週、同社のAndroid端末を狙ったゼロデイ攻撃で、WhatsAppの欠陥CVE-2025-55177と連鎖するリモート・コード実行の脆弱性にパッチを当てた。
この脆弱性により、アップルは2025年に悪用された6つのゼロデイを修正したことになる。1月が1つ目(CVE-2025-24085)、2月が2つ目(CVE-2025-24200)、3月が3つ目(CVE-2025-24201)、そして4月にさらに2つ(CVE-2025-31200とCVE-2025-31201)。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍増加
46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。
今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。
Comments