Appleは、先月リリースしたパッチを古いiPhoneおよびiPad向けにバックポートするセキュリティアップデートを公開し、「極めて高度な」攻撃で悪用されていたゼロデイ脆弱性に対処しました。
このセキュリティ上の欠陥は、Appleが8月20日にiOS 18.6.2およびiPadOS 18.6.2、iPadOS 17.7.10、macOS(Sequoia 15.6.1、Sonoma 14.7.8、Ventura 13.7.8)を実行しているデバイス向けにパッチを提供したものと同じものです。
CVE-2025-43300として追跡されているこの脆弱性は、Appleのセキュリティ研究者によって発見され、Image I/Oフレームワークにおけるバッファオーバーフロー(範囲外書き込み)の脆弱性が原因です。Image I/Oフレームワークは、アプリが画像ファイル形式を読み書きできるようにします。
範囲外書き込みは、攻撃者が細工された入力をプログラムに与えることで、割り当てられたメモリバッファの外側にデータを書き込ませ、クラッシュやデータ破損、さらにはリモートコード実行を引き起こす可能性があります。
Appleは現在、このゼロデイ脆弱性に対し、iOS 15.8.5 / 16.7.12およびiPadOS 15.8.5 / 16.7.12で、範囲チェックを強化することで対応しました。
「悪意のある画像ファイルを処理すると、メモリ破損が発生する可能性があります。範囲外書き込みの問題は、範囲チェックの強化によって対処されました」と同社は月曜日のアドバイザリで述べています。
「Appleは、この問題が特定の標的個人に対する極めて高度な攻撃で悪用された可能性があるという報告を認識しています。」
この脆弱性の影響を受けるデバイスのリストは非常に広範で、古いモデルの多くが影響を受けています。主な対象は以下の通りです:
- iPhone 6s(全モデル)、iPhone 7(全モデル)、iPhone SE(第1世代)、iPhone 8、iPhone 8 Plus、iPhone X、
- iPad Air 2、iPad mini(第4世代)、iPad 第5世代、iPad Pro 9.7インチ、iPad Pro 12.9インチ(第1世代)、iPod touch(第7世代)
8月下旬には、WhatsAppがiOSおよびmacOSのメッセージングクライアントにおいてゼロクリック脆弱性(CVE-2025-55177)を修正しました。この脆弱性は、AppleのCVE-2025-43300ゼロデイと組み合わせて、同社が「極めて高度」と表現する標的型攻撃で利用されました。
AppleとWhatsAppは、これら2つの脆弱性を連鎖させた攻撃の詳細をまだ公開していませんが、アムネスティ・インターナショナルのセキュリティラボ責任者であるDonncha Ó Cearbhaill氏は、WhatsAppが一部のユーザーに対し、デバイスが高度なスパイウェアキャンペーンの標的となったと警告したと述べています。
先週、Samsungもまた、Androidデバイスを標的としたゼロデイ攻撃で、CVE-2025-55177 WhatsAppの脆弱性と連鎖して利用されたリモートコード実行脆弱性にパッチを適用しました。
この脆弱性により、Appleは2025年に野生下で悪用された6件のゼロデイを修正したことになります。1月の最初(CVE-2025-24085)、2月の2件目(CVE-2025-24200)、3月の3件目(CVE-2025-24201)、および4月の2件(CVE-2025-31200とCVE-2025-31201)です。
