2025年8月30日Ravie Lakshmananゼロデイ / 脆弱性
WhatsAppは、AppleのiOSおよびmacOS向けメッセージングアプリに存在したセキュリティ脆弱性に対処しました。この脆弱性は、最近公表されたAppleの脆弱性と組み合わせて、標的型ゼロデイ攻撃で実際に悪用された可能性があるとされています。
この脆弱性CVE-2025-55177(CVSSスコア:8.0)は、リンクされたデバイスの同期メッセージに対する認可が不十分であったことに関連しています。WhatsAppセキュリティチームの内部研究者がこのバグを発見し、再評価したとされています。
Meta傘下の同社は発表で、この問題により「無関係なユーザーが、ターゲットのデバイス上で任意のURLからのコンテンツ処理を引き起こすことができた可能性がある」と述べています。
この脆弱性は以下のバージョンに影響します:
- iOS版WhatsApp バージョン2.25.21.73未満
- iOS版WhatsApp Business バージョン2.25.21.78
- Mac版WhatsApp バージョン2.25.21.78
また、この不備がCVE-2025-43300(iOS、iPadOS、macOSに影響する脆弱性)と連鎖して、特定の標的ユーザーに対する高度な攻撃の一部として利用された可能性も指摘されています。
CVE-2025-43300は、Appleが先週公表したもので、「特定の標的個人に対する極めて高度な攻撃」で悪用されたとされています。
問題となっている脆弱性は、ImageIOフレームワークにおける境界外書き込みの脆弱性で、悪意のある画像を処理する際にメモリ破損を引き起こす可能性があります。
アムネスティ・インターナショナルのセキュリティラボ責任者であるDonncha Ó Cearbhaill氏によると、WhatsAppは過去90日間にCVE-2025-55177を利用した高度なスパイウェアキャンペーンの標的となったと考えられる不特定多数の個人に通知を行ったとのことです。
標的となった個人に送られた警告では、デバイスの完全な初期化(工場出荷時リセット)の実施と、オペレーティングシステムおよびWhatsAppアプリを常に最新の状態に保つことが最適な保護策として推奨されています。現時点では、攻撃の背後にいる人物やスパイウェアベンダーは特定されていません。
Ó Cearbhaill氏は、これら2つの脆弱性を「ゼロクリック」攻撃と表現しており、リンクをクリックするなどのユーザー操作を必要とせずにデバイスが侵害されることを意味します。
「初期の兆候では、WhatsApp攻撃はiPhoneおよびAndroidユーザーの両方、特に市民社会の関係者にも影響を及ぼしているようです」とÓ Cearbhaill氏は述べています。「政府によるスパイウェアは、ジャーナリストや人権擁護者にとって引き続き脅威となっています。」
翻訳元: https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html