Appleが認めた標的型ゼロデイ攻撃の脅威

Appleは、iPhoneおよびiPadデバイスに影響を与える2つの積極的に悪用されたゼロデイ脆弱性に対処するための重要なセキュリティパッチを公開しました。同社は、iOS 26のリリース前に、これらの脆弱性が特定の個人を標的とした極めて高度な攻撃に利用されたことを確認しています。

WebKitの深刻な脆弱性と詳細

今回修正された脆弱性は、AppleのブラウザエンジンであるWebKitに存在し、それぞれ「CVE-2025-43529」と「CVE-2025-14174」として追跡されています。これらのセキュリティ上の欠陥は、Googleの脅威分析グループによって発見されました。

• CVE-2025-43529 (WebKit Use-after-free):
  悪意を持って作成されたウェブコンテンツを通じて攻撃者が任意のコードを実行できる、use-after-freeの脆弱性です。Appleはメモリ管理プロトコルの改善によりこの問題に対処しました。
• CVE-2025-14174 (WebKit Memory corruption):
  特別に設計されたウェブコンテンツを処理する際にトリガーされる可能性のあるメモリ破損の脆弱性です。Appleは検証措置を強化することで解決しました。

広範囲にわたる影響と緊急の対策

これらの脆弱性は、iPhone 11以降のモデルに加え、複数のiPad世代に影響を与えます。具体的には、iPad Pro 12.9インチ（第3世代以降）、iPad Pro 11インチ（第1世代以降）、iPad Air（第3世代以降）、iPad（第8世代以降）、iPad mini（第5世代以降）が対象となります。

Appleがこれらの脆弱性の悪用を認めたことは、その危険性の高さを裏付けています。今回の攻撃は特定の個人に対する高度に標的化された攻撃であり、国家支援型または高度な持続的脅威アクターが関与している可能性が示唆されます。

ユーザーへの強い推奨事項

影響を受けるデバイスのユーザーは、これらの積極的に悪用されている脆弱性から身を守るため、直ちに最新のiOSバージョンへアップデートすることが強く推奨されます。モバイルデバイスユーザー、特に高価値のターゲットが直面する脅威の進化する状況を示すものと言えるでしょう。

元記事: https://gbhackers.com/apple-confirms-zero-day-exploitation/