Appleは、数十件の脆弱性を修正するmacOSおよびiOSアップデートを公開し、その中には、同社によれば高度に標的化された攻撃で悪用されている2件のゼロデイ脆弱性も含まれています。
Appleのアドバイザリによると、これらのゼロデイは、Safari、iOS、iPadOS、macOS、tvOS、watchOS、visionOSに搭載されているブラウザエンジン「WebKit」に影響します。
ゼロデイの1つであるCVE-2025-14174はメモリ破損の問題として説明されており、もう1つのCVE-2025-43529はuse-after-freeバグです。いずれも悪意のある細工が施されたウェブコンテンツを用いることで、任意コード実行に悪用される可能性があります。
Appleは、iOSおよびiPadOS 26.2、iOSおよびiPadOS 18.7.3、macOS Tahoe 26.2、macOS向けSafari 26.2、tvOS 26.2、watchOS 26.2、visionOS 26.2のリリースに伴い、CVE-2025-14174およびCVE-2025-43529に対するパッチを発表しました。
しかし、Appleのアドバイザリは、これらの脆弱性が「iOS 26より前のバージョンのiOSを使用する特定の個人を標的とした、極めて高度な攻撃」で悪用されていたことを明らかにしています。
同社によると、これらの脆弱性はApple自身のセキュリティチームとGoogleのThreat Analysis Groupによって発見されました。
この事実と攻撃に関する簡潔な説明から、これらのゼロデイは、Android、iOS、macOS、Chrome、WhatsAppを標的としていることで知られる商用スパイウェアベンダーによって悪用されていた可能性が高いと考えられます。
CVE-2025-14174は謎のChromeゼロデイ
Googleは先週、謎のChromeゼロデイに対するパッチを発表しました。同社は、実際に悪用が確認されたと述べましたが、この脆弱性には当初CVE識別子も説明もなく、「高」深刻度という評価のみが付けられていました。
Googleは現在、元のアドバイザリを更新し、これまで未特定だったゼロデイがCVE-2025-14174であることを明らかにしています。
同社によれば、このセキュリティホールはAngleグラフィックスライブラリにおけるメモリ領域外アクセスの問題です。AngleはChromeのBlinkブラウザエンジンとWebKitの両方で使用されているため、このゼロデイはGoogle製品とApple製品の双方に影響します。
GoogleとAppleは、この脆弱性の開示とパッチ適用について連携していたとみられます。Googleのアドバイザリによると、この問題は12月5日に明らかになりました。
Googleは、Chromeユーザーを標的とした攻撃に関する詳細情報は一切共有していません。
また、AngleライブラリはChromiumでも使用されており、Edge、Opera、Vivaldi、BraveといったChromiumベースの他のブラウザも同様に影響を受ける点にも留意が必要です。
MicrosoftはすでにCVE-2025-14174へ対処するためにEdgeを更新しています。Vivaldiもゼロデイを修正するアップデートが行われています。
CISAは、CVE-2025-14174を既知悪用脆弱性(KEV)カタログに追加しました。
翻訳元: https://www.securityweek.com/apple-patches-two-zero-days-tied-to-mysterious-exploited-chrome-flaw/
