概要
Appleは、特定の個人を標的とした「極めて巧妙な攻撃」に悪用された2件のゼロデイ脆弱性に対応するため、緊急セキュリティアップデートをリリースしました。これらの脆弱性はCVE-2025-43529とCVE-2025-14174として追跡されており、同日付けで修正が提供されています。
Appleのセキュリティ速報によると、「この問題がiOS 26以前のバージョンの特定の標的型個人に対する極めて巧妙な攻撃に悪用されたという報告をAppleは認識しています。」と述べられています。
脆弱性の詳細
今回修正された2つの脆弱性の詳細は以下の通りです。
- CVE-2025-43529: WebKitにおけるUse-After-Freeのリモートコード実行の脆弱性です。悪意を持って細工されたウェブコンテンツを処理することで悪用される可能性があります。この脆弱性はGoogleのThreat Analysis Groupによって発見されました。
- CVE-2025-14174: WebKitにおけるメモリ破損の脆弱性であり、メモリ破損につながる可能性があります。この脆弱性はAppleとGoogleのThreat Analysis Groupの両方によって発見されました。
両脆弱性とも、同じ報告された悪用事例に対応して発行されたものです。
対象となるデバイス
これらの脆弱性の影響を受けるデバイスは以下の通りです。
- iPhone 11以降
- iPad Pro 12.9インチ(第3世代以降)
- iPad Pro 11インチ(第1世代以降)
- iPad Air(第3世代以降)
- iPad(第8世代以降)
- iPad mini(第5世代以降)
Googleとの連携と攻撃の背景
先週水曜日にはGoogleがGoogle Chromeの謎のゼロデイ脆弱性を修正しましたが、今回Appleが修正したCVE-2025-14174は、Googleが「ANGLEにおけるアウトオブバウンドメモリアクセス」として特定したCVEと同一です。これは、両社間での調整された情報開示があったことを示しています。
Appleは、iOS 26以前のバージョンで動作する個人を標的とした攻撃の技術的な詳細を公表していませんが、両脆弱性がWebKitに影響を与えることから、この活動は高度に標的化されたスパイウェア攻撃と一致していると見られています。WebKitはiOS版Google Chromeでも使用されています。
2025年のAppleゼロデイ脆弱性対応
今回の修正により、Appleは2025年中に野放しで悪用されたゼロデイ脆弱性にすでに7件対応したことになります。これまでの対応履歴は以下の通りです。
- 1月: CVE-2025-24085
- 2月: CVE-2025-24200
- 3月: CVE-2025-24201
- 4月: CVE-2025-31200とCVE-2025-31201
- 9月: CVE-2025-43300(iOS 15.8.5 / 16.7.12およびiPadOS 15.8.5 / 16.7.12を実行している古いデバイス向け)
ユーザーへの注意喚起
これらの脆弱性は標的型攻撃でしか悪用されていませんが、ユーザーは進行中の悪用のリスクを軽減するために、最新のセキュリティアップデートを速やかにインストールすることが強く推奨されています。