Appleは火曜日、モバイルおよびデスクトップオペレーティングシステム全体で数十件の脆弱性に対するパッチを発表し、その中には実際に悪用されたバグの修正も含まれています。
CVE-2025-6558として追跡されているこの悪用された脆弱性は、7月中旬に公開され、GoogleがChromeで修正し、報告したThreat Analysis Groupにクレジットを与え、ゼロデイ攻撃で標的にされたと警告しました。
このセキュリティ欠陥は、ChromeのANGLEおよびGPUグラフィックスコンポーネントにおける信頼できない入力の検証が不十分であることに起因し、細工されたHTMLページを使用してリモートからブラウザのサンドボックスを回避するために悪用される可能性があります。
Googleがこのバグを解決するためにChrome 138のアップデートを展開した1週間後、米国サイバーセキュリティ機関CISAはこれを既知の悪用脆弱性(KEV)カタログに追加し、連邦機関に対して8月12日までに解決するよう促しました。
CVE-2025-6558の悪用に関与する攻撃について公的な報告は、今のところ存在しないようです。
Appleの最新のiOSおよびmacOSセキュリティアップデートには、WebKitに影響を与え、悪意のあるコンテンツを含むページを閲覧した際にSafariがクラッシュする可能性のあるCVE-2025-6558の修正が含まれています。この脆弱性がSafariユーザーに対して悪用された証拠は現時点でないようです。
「これはオープンソースコードにおける脆弱性であり、Appleソフトウェアも影響を受けるプロジェクトの一つです」とAppleは説明しています。
合計で、クパチーノに本拠を置く同社はWebKitにおける13件のセキュリティ欠陥に対してパッチを展開し、これらがXSS攻撃の実行、機密ユーザー情報の漏洩、メモリ破損、Safariのクラッシュ、またはサービス拒否(DoS)状態を引き起こす可能性があると警告しました。
広告。スクロールして続きをお読みください。
WebKitが最も多くの修正を受けましたが、他のAppleプラットフォームのコンポーネントもAppleMobileFileIntegrity、Model I/O、PackageKitなど、多数の脆弱性に対してパッチが適用されました。
Jamfの副社長Josh Stein氏によると、今回新たに修正されたAppleの脆弱性の中で注目すべきものとしてCVE-2025-43223があります。これはmacOSとiOSの両方のCFNetworkコンポーネントに影響し、権限のないユーザーが制限されたネットワーク設定を変更できてしまうものです。
「AppleのCFNetworkは、HTTP、HTTPSなどのプロトコルを含むネットワーク通信を処理するフレームワークです。そのため、フレームワークの脆弱性は重大なセキュリティリスクをもたらします」とStein氏はSecurityWeekに語りました。
Appleは新しいmacOS Sequoia 15.6アップデートで87件のCVEを修正し、新たにリリースされたiOS 18.6およびiPadOS 18.6アップデートには29件のセキュリティ欠陥の修正が含まれています。
macOS Sonoma 14.7.7は50件のバグ修正、macOS Ventura 13.7.7は41件の問題修正、iPadOS 17.7.9は19件の脆弱性対応、watchOS 11.6は21件、tvOS 18.6およびvisionOS 2.6はそれぞれ24件の修正が行われました。
ユーザーは、モバイル、デスクトップ、ウェアラブルデバイスをできるだけ早くアップデートすることが推奨されます。解決された脆弱性の詳細は、Appleのセキュリティリリースページで確認できます。
関連記事: Sploitlight: macOSの脆弱性が機密情報を漏洩
関連記事: Apple、iOS・macOSプラットフォームの重大なセキュリティ欠陥にパッチ
翻訳元: https://www.securityweek.com/apple-patches-safari-vulnerability-flagged-as-exploited-against-chrome/