Appleは水曜日、同社の最も人気のあるデバイスを動かすソフトウェアに影響する、積極的に悪用されているゼロデイ脆弱性に対処するため、緊急のソフトウェアアップデートを顧客向けに急遽リリースしました。この範囲外書き込みの欠陥 — CVE-2025-43300 — は、攻撃者が悪意のある画像ファイルを処理することでメモリ破損を引き起こすことを可能にします。
「Appleは、この問題が特定の標的となった個人に対して極めて高度な攻撃で悪用された可能性があるという報告を認識しています」と同社はiOS、iPadOS、およびmacOS向けの一連のセキュリティアップデートで述べています。
米国サイバーセキュリティ・インフラストラクチャ庁(CISA)は木曜日、この欠陥を既知の悪用脆弱性カタログに追加しました。
Appleは、同社が把握している実際の悪用件数や影響を受けた人数については明らかにしていません。同社はコメントの要請にも応じませんでした。
Appleは通常、ゼロデイの実際の悪用に関する詳細情報は限定的にしか共有しませんが、TenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏によると、今年は少なくとも5件の脆弱性公表で、巧妙な攻撃者が関与している場合や特定の個人が標的となっている場合には、より強い表現を用いています。
「この表現は、Appleが外部への情報発信において意図的であることを示唆しています」とNarang氏はメールで述べています。「CVE-2025-43300を悪用する攻撃者が狭い範囲に標的を絞っていたため、広範な一般ユーザーへの影響は小さいものの、Appleは一般の人々にこの脅威に注意を払い、迅速に対応するよう促しています。」
Appleは、この脆弱性に対処するために境界チェックを強化したと述べ、影響を受けるソフトウェアのバージョンを使用している顧客に対し、直ちにアップデートを適用するよう勧告しました。この欠陥は、macOS 13.7および15.6より前のバージョン、iPadOS 17.7より前のバージョン、iOSおよびiPadOS 18.6より前のバージョンに影響します。
「一般ユーザーが標的になる可能性は低いものの」とNarang氏は述べ、「ゼロではありません。」
この脆弱性は、Appleが今年対処した5件目のゼロデイにあたり、これには1月、2月、3月、4月に公表・修正された欠陥も含まれます。Appleの脆弱性は今年、CISAの既知の悪用脆弱性リストに7回登場しています。
この脆弱性に関する詳細は、Appleのウェブサイトで確認できます。
翻訳元: https://cyberscoop.com/apple-zero-day-ios-macos-ipados-august-2025/