Appleは、特定の個人を標的とした「極めて高度な攻撃」で悪用されていた2件のゼロデイ脆弱性に対処するため、緊急アップデートをリリースしました。
これらのゼロデイはCVE-2025-43529およびCVE-2025-14174として追跡されており、いずれも同じ悪用報告に対応して公開されたものです。
「Appleは、この問題がiOS 26より前のバージョンを使用している特定の標的個人に対する、極めて高度な攻撃で悪用された可能性があるという報告を認識しています」と、Appleのセキュリティ情報には記載されています。
CVE-2025-43529は、悪意のある細工が施されたウェブコンテンツを処理することで悪用され得る、WebKitのuse-after-free型リモートコード実行の脆弱性です。Appleによると、この欠陥はGoogleのThreat Analysis Groupによって発見されました。
CVE-2025-14174は、メモリ破損につながる可能性のあるWebKitのメモリ破損の脆弱性です。Appleは、この欠陥はAppleとGoogleのThreat Analysis Groupの双方によって発見されたと述べています。
両方の脆弱性の影響を受けるデバイスは次のとおりです。
-
iPhone 11以降
-
iPad Pro 12.9インチ(第3世代以降)
-
iPad Pro 11インチ(第1世代以降)
-
iPad Air(第3世代以降)
-
iPad(第8世代以降)
-
iPad mini(第5世代以降)
水曜日、GoogleはGoogle Chromeの謎のゼロデイ脆弱性を修正し、当初は「[N/A][466192044] High: Under coordination(調整中)」とラベル付けしていました。
しかし現在、Googleは勧告を更新し、このバグを「CVE-2025-14174: ANGLEにおける境界外メモリアクセス」と特定しました。これはAppleが修正したものと同じCVEであり、両社による協調開示が行われたことを示しています。
Appleは、攻撃の技術的な詳細については、iOS 26より前のバージョンを実行している個人が標的にされたという説明以上の情報は開示していません。
両方の脆弱性が、iOS上のGoogle Chromeが使用しているWebKitに影響することから、この活動は高度に標的を絞ったスパイウェア攻撃と整合的です。
これらの脆弱性は標的型攻撃でのみ悪用されていたものの、継続的な悪用のリスクを低減するため、ユーザーは最新のセキュリティアップデートを速やかにインストールすることが強く推奨されます。
今回の修正により、Appleが2025年に野生(実環境)で悪用されていたゼロデイ脆弱性としてパッチを適用した件数は7件となりました。年初の1月のCVE-2025-24085、2月のCVE-2025-24200、3月のCVE-2025-24201、および4月の2件(CVE-2025-31200およびCVE-2025-31201)から始まっています。
9月には、AppleはCVE-2025-43300として追跡されているゼロデイ脆弱性についても、iOS 15.8.5 / 16.7.12およびiPadOS 15.8.5 / 16.7.12を実行している旧型デバイス向けに修正をバックポートしました。
