概要
本日Appleが開示した脆弱性(Oligo Securityへの言及を含む)について、多くの方が当社チームにお問い合わせを寄せています。世界中のユーザーを保護するため、現時点ではこれらの脆弱性に関するさらなる詳細は共有しません。
2025年1月27日、AppleはmacOS、iPhone(iOS)、iPadOS、Apple Watch、Apple TV、およびApple Vision Pro向けのセキュリティアップデートを公開しました。これらのうち、AirPlayに関する5件の脆弱性はOligo Securityによって報告されました。脆弱性の一覧は以下のとおりです。
AirPlayは、Appleおよび他社ベンダーの対応デバイス間で無線通信を行うためのApple独自プロトコルです。AirPlayは、音声、動画、写真、フルスクリーンのミラーリングのストリーミングに加え、関連するメタデータもサポートします。
2024年末、OligoのリサーチチームはAirPlayプロトコルに複数の脆弱性を発見しました。これにより、AirPlayを利用しているデバイスに対してサービス拒否(DOS)やリモートコード実行(RCE)攻撃につながる可能性があります。これらの脆弱性により、攻撃者が影響を受けるデバイスを完全に制御したり、デバイス上のAirPlayサービスを繰り返しクラッシュさせてサービス拒否を引き起こしたりする可能性があります。
当社はAppleと責任ある開示プロセスに従って対応しています。ユーザーの安全を守るため、これらの脆弱性に関する詳細な技術情報は後日共有します。
技術ブログの公開時に通知を受け取りたい場合は、当社ブログを購読してください。
Oligoが発見した脆弱性
CVE-2025-24126
影響: ローカルネットワーク上の攻撃者が、予期しないシステム終了を引き起こしたり、プロセスメモリを破損させたりする可能性があります
説明: 入力検証の問題に対処しました。
CVE-2025-24129
影響: リモートの攻撃者が、予期しないアプリの終了を引き起こす可能性があります
説明: チェックを改善し、型の混同(type confusion)の問題に対処しました。
CVE-2025-24131
影響: 特権的な立場にある攻撃者が、サービス拒否を実行できる可能性があります
説明:メモリ処理を改善して問題に対処しました。
CVE-2025-24177
影響: リモートの攻撃者が、サービス拒否を引き起こす可能性があります
説明: 入力検証を改善し、NULLポインタ参照の問題に対処しました。
CVE-2025-24137
影響: リモートの攻撃者が、予期しないアプリケーションの終了または任意のコード実行を引き起こす可能性があります
説明:チェックを改善し、型の混同(type confusion)の問題に対処しました。
専門家のヒント
購読して最新のセキュリティアップデートを入手
最新アプリもレガシーアプリも防御するために構築
Oligoは、K8s上に構築された最新のクラウドアプリでも、オンプレミスでホストされる旧来のアプリでも、数分で導入できます。