2025年7月30日Ravie Lakshmanan脆弱性 / ゼロデイ
Appleは火曜日、今月初めにGoogleがChromeウェブブラウザでゼロデイとして悪用されたと発表した脆弱性の修正を含む、全ソフトウェア製品向けのセキュリティアップデートを公開しました。
この脆弱性はCVE-2025-6558(CVSSスコア:8.8)として追跡されており、ブラウザのANGLEおよびGPUコンポーネントにおける信頼されていない入力の不適切な検証により、細工されたHTMLページを介してサンドボックスの回避が可能になる可能性があります。
この問題が脅威アクターによってどのように悪用されたかの詳細は明らかにされていませんが、Googleは「CVE-2025-6558のエクスプロイトが実際に存在する」と認めています。GoogleのThreat Analysis Group(TAG)のClément Lecigne氏とVlad Stolyarov氏がこの問題の発見と報告に貢献しました。
iPhoneメーカーであるAppleは、最新のソフトウェアアップデートにおいてもCVE-2025-6558へのパッチを含めており、この脆弱性がSafariブラウザを支えるWebKitブラウザエンジンに影響を与えると述べています。
「これはオープンソースコードにおける脆弱性であり、Appleのソフトウェアも影響を受けるプロジェクトの一つです」と同社はアドバイザリで述べ、悪意のあるウェブコンテンツを処理する際にSafariが予期せずクラッシュする可能性があると付け加えました。
このバグは以下のバージョンで修正されています:
- iOS 18.6 および iPadOS 18.6 – iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代以降)、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第7世代以降)、iPad mini(第5世代以降)
- iPadOS 17.7.9 – iPad Pro 12.9インチ(第2世代)、iPad Pro 10.5インチ、iPad(第6世代)
- macOS Sequoia 15.6 – macOS Sequoiaを搭載したMac
- tvOS 18.6 – Apple TV HDおよびApple TV 4K(全モデル)
- watchOS 11.6 – Apple Watch Series 6以降
- visionOS 2.6 – Apple Vision Pro
現時点で、この脆弱性がAppleデバイスのユーザーを標的にして悪用された証拠はありませんが、最適な保護のためにソフトウェアを最新バージョンにアップデートすることが常に推奨されます。
翻訳元: https://thehackernews.com/2025/07/apple-patches-safari-vulnerability-also.html