Appleは、現実の攻撃ですでに悪用されていた2件のゼロデイ脆弱性に対処する緊急(定例外)パッチを公開しました。同社は、悪用には大量侵害ではなく限られた個人を標的とする高度に洗練された技術的手法が用いられていたことを確認しています。両方の欠陥はiOS 26より前のiOSを実行するデバイスに影響し、単一の更新バンドルで修正されました。
これらの脆弱性はCVE-2025-43529およびCVE-2025-14174として追跡されています。Appleによれば、両者は同一の活動の一部として悪用されましたが、同社は攻撃ベクターや配信メカニズムの詳細については、「特定のユーザーを狙った“極めて高度な攻撃”」であること以外を理由に開示を控えました。
CVE-2025-43529はWebKitにおけるuse-after-freeの欠陥で、SafariおよびiOS上のすべてのサードパーティ製ブラウザで使用されるブラウザエンジンに影響します。この問題により、特別に細工されたWebコンテンツを処理した際にリモートコード実行が可能になります。この脆弱性はGoogleのThreat Analysis Groupによって発見されました。
2つ目の欠陥であるCVE-2025-14174もWebKitに存在し、メモリ破損に関係します。この種の欠陥は不適切なメモリ処理を引き起こし、さらなる悪用に好都合な条件を作り出す可能性があります。発見は、同じGoogleの研究チームと協力したAppleに帰属するとされています。
両方の脆弱性は幅広いデバイスに影響し、iPhone 11以降のiPhoneモデル、複数世代のiPad Pro、第3世代以降のiPad Air、第8世代以降の標準iPad、第5世代以降のiPad miniが含まれます。実質的には、現在サポートされているAppleデバイスの大半がリスクにさらされていました。
修正は複数のOSリリースにわたって展開されました。パッチはiOS 26.2およびiPadOS 26.2に加え、iOS 18.7.3およびiPadOS 18.7.3にも含まれています。さらに、macOS Tahoe 26.2、tvOS 26.2、watchOS 26.2、visionOS 26.2、Safari 26.2向けの更新も提供されました。
ほぼ同時に、Googleは以前は詳細不明だったChromeのゼロデイに関するアドバイザリを更新しました。当初は技術的詳細なしで公開されていましたが、その後同社は、この問題がCVE-2025-14174という識別子を持ち、ANGLEコンポーネントにおける境界外メモリアクセスに起因することを確認しました。
WebKitはChromeを含むiOS上のすべてのブラウザの基盤であるため、観測された活動は、悪意あるWebコンテンツが主要な悪用ベクターとして機能する標的型攻撃のよく知られたパターンと一致します。Appleは攻撃が広範ではないことを強調していますが、それでもユーザーに対し、できるだけ早く更新をインストールするよう促しています。
これらの修正により、2025年にAppleが実際の攻撃での悪用が確認された後に修正したゼロデイ脆弱性の総数は7件に達しました。これまでに1月、2月、3月、4月に緊急更新が提供され、さらに9月には古いiOSおよびiPadOSバージョン向けにバックポートされた追加パッチが公開されています。最新リリースはこの流れを継続するもので、運用上の詳細はほとんど示されていないものの、これらの欠陥が標的型サイバー諜報キャンペーンで積極的に悪用されていたことを明確に示し、ユーザーの即時対応を求めています。
