Apple、「高度な」攻撃に悪用されたゼロデイ脆弱性にパッチを適用

読了時間：2分

出典：Wachiwit（Alamy Stock Photo経由）

Appleは8月20日、ImageIOフレームワークに存在するゼロデイ脆弱性にパッチを適用しました。これは、同社が今年公開した一連のゼロデイ脆弱性の最新のものです。

この脆弱性はCVE-2025-43300として追跡されており、アウトオブバウンズ書き込みの問題です。同社によると、この脆弱性は「極めて高度な」標的型攻撃で悪用されていました。「悪意のある画像ファイルを処理すると、メモリ破損が発生する可能性があります」とAppleのセキュリティアドバイザリには記載されています。「Appleは、この問題が特定の個人を標的とした極めて高度な攻撃で悪用された可能性があるという報告を認識しています。」

この脆弱性はiOS、iPadOS、macOSに影響し、Appleによると、最新バージョンのオペレーティングシステムで境界チェックの強化によって対処されています。この脆弱性はAppleの従業員によって発見されました。

Appleは慣例通り、脆弱性のさらなる技術的詳細や、攻撃活動の詳細については、「高度な」サイバー攻撃と表現する以外に情報を提供していません。同社は今年から一部のアドバイザリでこのような表現を使い始めており、おそらく国家レベルの脅威やスパイウェア活動を示唆しています。

例えば2月には、AppleはCVE-2025-24200を公開しました。これは、未承認ユーザーが同社のUSB制限モードを無効化できるゼロデイ脆弱性です。CVE-2025-43300のアドバイザリと同様に、Appleはこの脆弱性が「極めて高度な」攻撃で悪用された可能性があると述べ、トロント大学Munk SchoolのCitizen LabのBill Marczak氏（商用スパイウェア活動に注力）に発見の功績を認めています。

4月には、AppleはCVE-2025-43200として追跡される別のゼロデイ脆弱性にパッチを適用しました。これは、悪意を持って作成された画像や動画がiCloudリンク経由で共有された際の処理におけるロジックの問題に起因します。6月には、Citizen Labがこの脆弱性がParagon Solutions（商用スパイウェアベンダー）によるゼロクリックiOSエクスプロイトに利用されていたことを明らかにしました。Citizen Labの研究者によると、このスパイウェア攻撃は2人のジャーナリストを標的にしていました。

スパイウェアによるハッキング

CVE-2025-43300はApple社内で発見されましたが、以前のImageIOの脆弱性は、悪名高いスパイウェアメーカーNSO Groupによって2023年に武器化されました。Citizen Labは、ワシントンD.C.の市民社会組織に対するスパイウェア攻撃で、CVE-2023-41064というヒープバッファオーバーフローの脆弱性を発見しました。