Appleは、iOS、iPadOS、macOSの一連のアップデートの中で、これまで知られていなかった脆弱性に対するパッチをリリースしました。この脆弱性は、非常に標的を絞った攻撃で悪用された可能性があります。
この脆弱性はCVE-2025-43300として追跡されており、Image I/Oフレームワークにおけるアウトオブバウンズ書き込みの脆弱性です。Image I/Oは、Appleが提供する画像データの読み書きや操作を効率的に行うための組み込みフレームワークです。
この脆弱性は、macOS Ventura 13.7未満、macOS Sonoma 14.7未満、macOS Sequoia 15.6未満、iOS 18.6未満、iPadOS 17.7および18.6未満に影響します。
この脆弱性が悪用されると、悪意のある画像ファイルを処理した際にメモリ破損が発生する可能性があります。
Appleはこの脆弱性の深刻度スコアを公表していません。
しかし、同社は8月20日のセキュリティアドバイザリの中で、「この問題が、特定の標的となった個人に対する極めて高度な攻撃で悪用された可能性があるという報告を認識している」と述べています。
8月20日に公開されたパッチ適用済みバージョンへのアップデートは、以下のシステムを含みます:
- macOS Ventura 13.7.8
- macOS Sonoma 14.7.8
- macOS Sequoia 15.6.1
- iOS 18.6.2
- iPadOS 17.7.10
- iPadOS 18.6.2
「ゼロクリック」スパイウェア攻撃への扉を開く可能性
これらのアップデートを受けて、専門家はAppleユーザーに対し、既知の悪用が標的型であったとしても、速やかにパッチ適用済みバージョンをインストールするよう呼びかけています。
Hackuityの戦略担当副社長であるSylvain Cortes氏は、この脆弱性について「いわゆる『ゼロクリック』攻撃への扉を開く可能性があり、悪意のあるメッセージ1つで被害者が何も操作しなくても攻撃者がコードを実行できる」と指摘しています。
「この種の過去のエクスプロイトは、政府関係者やジャーナリスト、その他の重要人物を標的とするために利用されてきました」と同氏は付け加えています。
Jamfのシニアセキュリティ戦略マネージャーであるAdam Boynton氏も同様の懸念を表明しています。
「Appleはこの特定の脆弱性がスパイウェアに関連していたかどうかは確認していませんが、Image I/OやWebKitの類似した脆弱性が過去にPegasusキャンペーンで利用されたことがあります」と述べています。
「悪用が標的型であるように見えても、特にスパイウェア攻撃のリスクが高い業界の方は、すべてのユーザーが直ちにiOS 18.6.2にアップデートすることを推奨します。」
写真クレジット:nikkimeel / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/apple-patch-likely-exploited-zero/