TokyoBlackHatNews

darkreading.com 4分で読了

Apple、「高度」な攻撃で悪用されたゼロデイをさらに修正

iOS 26のアップデート

出典:Ascannio(Alamy Stock Photo経由)

Appleは最近、2件のゼロデイを修正した。そのうち1件は、先週開示された謎のGoogleの脆弱性と同じCVEを共有している。

2つの欠陥はいずれもWebKit(AppleのオープンソースWebブラウザエンジン)に存在していた。パッチノートによると、CVE-2025-43529は、悪意をもって細工されたWebコンテンツを処理することで任意のコード実行につながる可能性がある欠陥だ。これはuse-after-free問題として説明され、メモリ管理の改善により修正された。CVE-2025-14174は、同様に悪意をもって細工されたWebコンテンツの処理によって引き起こされるメモリ破損の脆弱性である。これは検証の改善により対処された。

両脆弱性は、GoogleのThreat Analysis Group(TAG)との協力により発見された。Appleは12月12日、iOS 26.2、iPadOS 26.2、iOS 18.7.3、iPadOS 18.7.3、およびmacOS Tahoe 26.2向けにパッチを配信した。

両CVEのパッチノートで最も注目すべき点は、「Appleは、この問題がiOS 26以前のiOSバージョンにおいて、特定の標的個人に対する極めて高度な攻撃で悪用された可能性があるという報告を把握している」という記述だ。Appleは近年、特定のセキュリティアドバイザリで、商用スパイウェアで使われるエクスプロイトのような事例を説明するためにこの種の表現を用いているが、悪用に関する追加の詳細は提供していない。

例えば9月には、Appleが通知を送付し、スパイウェア攻撃の標的となった特定の顧客に警告した。これは同社が2021年から行っている取り組みだ。これらの通知は、AppleがImageIOフレームワークにおけるゼロデイ欠陥CVE-2025-43300を開示した時期と重なっており、同社によれば当該欠陥は「極めて高度な攻撃」で使用されたと報告されている。

WebKitとChromeの欠陥をめぐる詳細について、ベンダーは沈黙

実際、「極めて高度な攻撃」で使用された可能性があるにもかかわらず、これらの脆弱性に関する詳細は全体として乏しいままだ。

先週、Googleは別の当事者と連携してChromeのゼロデイ脆弱性を修正したと述べたが、追加情報は共有しなかった。テック大手は12月12日にパッチノートを更新し、その謎の脆弱性が実は前述のCVE-2025-14174であったことを明らかにした。

ここでベンダーは、Googleのグラフィックスエンジン抽象化レイヤーANGLEにおける境界外メモリアクセスの脆弱性だと説明している。Googleによれば、このバグは12月5日にAppleのSecurity Engineering and Architecture(SEAR)チームとGoogle Threat Analysis Groupによって発見された。

Dark Readingは、詳細が最小限にとどめられている理由を尋ねるためAppleとGoogleに連絡したが、記事執筆時点でいずれのベンダーからも回答は得られていない。

Palo Alto NetworksのUnit 42で脅威インテリジェンス担当シニアディレクターを務めるAndy Piazza氏はDark Readingに対し、パッチは防御側にとっての修正である一方で、「攻撃者にとっての設計図」にもなり得ると語る。

「ベンダーが透明性に慎重なのは、パッチの公開が競争状態(レースコンディション)を引き起こすからです」と同氏は言う。「課題は、悪意ある行為者が更新をリバースエンジニアリングし、エクスプロイトを作り、脆弱性を武器化する前に、顧客の安全を確保することです」

一方、Rapid7で脆弱性インテリジェンス担当ディレクターを務めるDouglas McKee氏は、一般論として、ベンダーが技術的詳細をあまり示さずに何かを修正する場合、それは秘密主義のためというより、意図的なリスク低減の判断であることが多いと述べる。

「これらのAppleおよびANGLE関連の問題では、静かで協調的な開示は、ベンダーがバグを高リスクと見なし、すでに有能な敵対者に知られている可能性があると判断していたことを強く示唆します」とMcKee氏は言う。「共有されるグラフィックスコンポーネントにおけるメモリ安全性の欠陥は、クロスプラットフォームで、しかも連鎖させやすいことが多いため非常に価値が高く、商用スパイウェアや国家に連なるツールを含む高度な悪用のプロファイルに合致します。公開された指標がない段階で過度に帰属を断定しないよう注意すべきですが、この対応パターンは、より広範な悪用を可能にする詳細を拡散させることなく、ベンダーが迅速に封じ込めたかった事案であることを示しています」

翻訳元: https://www.darkreading.com/vulnerabilities-threats/apple-patches-more-zero-days-sophisticated-attack

ソース: darkreading.com
#Apple #CVE-2025-14174 #CVE-2025-43529 #Google Threat Analysis Group(TAG) #iOS 26.2 #macOS Tahoe 26.2 #WebKit #ゼロデイ脆弱性 #商用スパイウェア #高度標的型攻撃

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開