- Apple、WebKitのゼロデイ2件(CVE‑2025‑43529およびCVE‑2025‑14174)を修正――高度に標的化された攻撃で悪用
- 脆弱性はGoogle TAGとAppleが共同で発見し、Chromeにも並行して修正が提供
- 更新はiOS、iPadOS、macOS、watchOS、tvOS、visionOS、Safariに及び、ユーザーには迅速な適用が呼びかけられている
Appleは、「極めて高度な攻撃」で悪用された2件のゼロデイ脆弱性を修正した。状況を総合すると、著名な人物1人、または少数の人物を狙ったサイバー諜報攻撃だった可能性がある。
Appleは新たなセキュリティ勧告で、WebKitにおけるuse-after-freeによるリモートコード実行(RCE)脆弱性と、WebKitのメモリ破損の欠陥に対するパッチを展開したと述べた。
WebKitは、Webページの描画を担うAppleのブラウザエンジンだ。macOS、iOS、iPadOS上のSafariを支えており、iPhoneおよびiPad上のすべてのブラウザで使用されている。
修正を展開
この2件のバグは現在、CVE-2025-43529およびCVE-2025-14174として追跡されている。
Appleのセキュリティ情報には、「Appleは、この問題がiOS 26以前のiOSのバージョンにおいて、特定の標的となった個人に対する極めて高度な攻撃で悪用された可能性があるとの報告を認識している」と記されている。
興味深いのは、両方のバグがGoogleのThreat Analysis Group(TAG)によって発見された点だ(2件目の欠陥についてはAppleも自社での発見としてクレジットしている)。TAGは主に国家支援型の脅威アクターを追跡・監視する、Googleの専門サイバーセキュリティ部門である。
さらに気になるのは、同じタイミングでGoogleがChromeでも、同一の識別子――CVE-2025-14174――のバグを修正したことだ。これは両社が協力してリスク低減に取り組んだことを示唆しており、驚くことではないものの、決して一般的でもない。悪用が相当に深刻だった可能性を示している。
これらの欠陥の影響を受けるデバイスには、iPhone 11以降、iPad Pro 12.9インチ(第3世代以降)、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第8世代以降)、iPad mini(第5世代以降)が含まれる。
修正はOS 26.2およびiPadOS 26.2、iOS 18.7.3およびiPadOS 18.7.3、macOS Tahoe 26.2、tvOS 26.2、watchOS 26.2、visionOS 26.2、Safari 26.2で提供された。
一般の人々がこれらの欠陥を通じて標的にされる可能性はやや低いものの、両社はそれでも、できるだけ早く修正を適用するよう全員に推奨している。
