Appleは、「極めて高度な攻撃」で悪用された新たなゼロデイ脆弱性を修正するため、緊急アップデートをリリースしました。
CVE-2025-43300として追跡されているこのセキュリティ脆弱性は、Appleのセキュリティ研究者によってImage I/Oフレームワークで発見されたバッファオーバーフロー書き込みの脆弱性が原因です。Image I/Oフレームワークは、アプリケーションがほとんどの画像ファイル形式の読み書きを可能にします。
バッファオーバーフロー書き込みは、攻撃者がプログラムに入力を与えることで、割り当てられたメモリバッファの外にデータを書き込ませることで発生します。これにより、プログラムのクラッシュやデータの破損、最悪の場合はリモートコード実行が可能になることがあります。
「Appleは、この問題が特定の標的型個人に対して極めて高度な攻撃で悪用された可能性があるという報告を認識しています」と同社は水曜日に発表したセキュリティアドバイザリで明らかにしました。
「バッファオーバーフロー書き込みの問題は、境界チェックの強化によって対処されました。悪意のある画像ファイルを処理すると、メモリ破損が発生する可能性があります。」
Appleは、この問題の悪用を防ぐため、iOS 18.6.2およびiPadOS 18.6.2、iPadOS 17.7.10、macOS Sequoia 15.6.1、macOS Sonoma 14.7.8、およびmacOS Ventura 13.7.8で境界チェックを強化しました。
このゼロデイ脆弱性の影響を受けるデバイスのリストは広範囲にわたり、古いモデルと新しいモデルの両方が含まれます。主な対象は以下の通りです:
- iPhone XS以降、
- iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代以降)、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第7世代以降)、iPad mini(第5世代以降)、iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)、
- およびmacOS Sequoia、Sonoma、Venturaを実行しているMac。
同社は、発見者を自社の研究者の誰かに帰属させておらず、「極めて高度な」攻撃の詳細についてもまだ公表していません。
この脆弱性は高度に標的化された攻撃でのみ悪用されている可能性が高いものの、潜在的な継続的攻撃を防ぐためにも、本日のセキュリティアップデートを速やかにインストールすることが強く推奨されます。
この脆弱性により、Appleは今年に入ってから野生下で悪用されたゼロデイ脆弱性を合計6件修正したことになります。1月の最初のもの(CVE-2025-24085)、2月の2件目(CVE-2025-24200)、3月の3件目(CVE-2025-24201)、そして4月の2件(CVE-2025-31200およびCVE-2025-31201)です。
2024年には、同社は他にも6件の積極的に悪用されたゼロデイ脆弱性を修正しています:1月の1件、3月の2件、5月の4件目、および11月の2件です。
