WhatsAppは、高度な攻撃で悪用されたとみられる重大なゼロデイ脆弱性を修正しました。
メッセージング大手は先週末遅くに公開したセキュリティ勧告で、CVE-2025-55177は「リンク済みデバイスの同期メッセージにおける不完全な認可」に関連すると明らかにしました。
同社は次のように付け加えています。「これにより、無関係のユーザーが、標的のデバイス上で任意のURLからのコンテンツ処理を引き起こせた可能性があります。当社は、この脆弱性がAppleプラットフォームのOSレベルの脆弱性(CVE-2025-43300)と組み合わさることで、特定の標的ユーザーに対する高度な攻撃で悪用された可能性があると評価しています。」
問題となっているAppleのバグは、同社が8月20日に修正した際、「境界外書き込みの問題」として説明されました。
当時、同社は「悪意のある画像ファイルを処理すると、メモリ破損が発生する可能性があります」と述べています。
「Appleは、この問題が特定の標的個人に対する極めて高度な攻撃で悪用された可能性があるという報告を把握しています。」
WhatsAppのバグに関する記事を読む:スパイウェアメーカーNSO Group、WhatsAppユーザーへのハッキングで責任を問われる
両社のメッセージングを踏まえると、これらのバグが商用スパイウェア・キャンペーンの一環として悪用された可能性は極めて高いといえます。実際、これはアムネスティ・インターナショナルのセキュリティラボ責任者で、市民社会を標的に用いられるスパイウェアの追跡を行うDonncha Ó Cearbhaill氏によって確認されました。
例えば2023年4月には、セキュリティ研究者がゼロクリックのゼロデイ・エクスプロイトを発見しました。これは数年前に商用スパイウェアでiPhoneユーザーを標的にしていたものです。そのキャンペーンでは、秘密主義で知られるイスラエル企業QuaDreamが設計したマルウェアが使用されました。
これらのエクスプロイトは、動作にユーザーの操作を必要としないため特に危険であり、被害者は自分のあらゆる行動が監視されていることにまったく気づきません。いったんインストールされると、この種のスパイウェア、あるいはNSO Groupの悪名高いPegasus亜種は、デバイスのカメラ、マイク、メッセージ、写真など、さらに多くの情報へアクセスするよう設計されています。
NSO Groupは、WhatsAppとの長期にわたる法廷闘争の末、今年初めに損害賠償として1億6700万ドルの支払いを命じられました 。発端は2019年、Pegasusが人権活動家、ジャーナリスト、外交官を含む1000人超のWhatsAppユーザーを標的にするために使用されていたことが判明したことでした。
CVE-2025-55177は、iOS版WhatsApp v2.25.21.73以前、iOS版WhatsApp Business v2.25.21.78 、およびMac版WhatsApp v2.25.21.78に影響します。
画像 クレジット:MardeFondos / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/whatsapp-patches-zeroday-zeroclick/
