AppleとGoogleは、両社が「高度」な現実世界の攻撃で積極的に悪用されているのが確認されたゼロデイの不具合を受け、そろって緊急パッチを公開した。
ここ数日、両テック大手は、攻撃者がすでに不特定の数の標的に対して悪用していた脆弱性を塞ぐため、更新を急いで提供した。今回もまた、ユーザーはまずパッチを当て、疑問は後回しにせざるを得ない状況に追い込まれている。
Appleは、iPhone、iPad、Macを含むエコシステムの大部分にわたり新たなセキュリティ更新を配信し、WebKitの2件の不具合を修正した。同社によれば、これらは「特定の標的個人に対する極めて高度な攻撃」で悪用された可能性があるという。いつものようにクパチーノは技術的詳細をほとんど明かさず、攻撃が実在し、すでに出回っているという警告以上の情報はほとんど提供しなかった。
一方Googleは、少なくとも1件のゼロデイ(修正が提供される前にすでに悪用されていたもの)を含む複数のセキュリティ欠陥に対処するChromeのStableチャネル更新をリリースした。高リスクの不具合はCVE-2025-14174として追跡され、境界外メモリアクセスの脆弱性だと説明されており、Googleは野放しの状態でのエクスプロイトを把握していたことを認めた。
Googleは先週水曜日にこのChromeの不具合をひそかに修正したが、脆弱性は依然として「調整中」だと述べた。チョコレート工場は、Appleが独自の調査結果を開示した後にパッチノートを更新し、両社の調査の重なりを明らかにした。
どちらの会社も技術的詳細は多く明かしていないが、GoogleはCVE-2025-14174の発見について、AppleのセキュリティエンジニアリングチームとGoogleのThreat Analysis Group(一般的なマルウェアを追うよりも、傭兵型スパイウェア業者や国家支援の侵入キャンペーンの追跡で知られる部門)に功績を帰している。この帰属は、場当たり的なドライブバイ型ハッキングではなく、スパイウェア級の悪用だったことを強く示唆している。
この修正ラッシュは、両社で増え続けるゼロデイ件数にさらに加わるものだ。今回の最新更新により、Appleは2025年に入ってこれまでに野放しで悪用された9件の脆弱性を修正したことになり、Googleは今年だけでChromeのゼロデイ8件への対処を余儀なくされている。このペースは、攻撃者がブラウザやモバイルプラットフォームを、依然として最も収益性の高い「不動産」の一つとして重視していることを示している。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/15/apple_follows_google_by_emergency/
