WhatsAppは、巧妙な攻撃で悪用されたと考えられる重大なゼロデイ脆弱性にパッチを適用しました。
このメッセージング大手は、先週末に公開したセキュリティアドバイザリで、CVE-2025-55177が「リンクされたデバイスの同期メッセージの認可が不完全であること」に関連していると明らかにしました。
同社はさらに次のように述べています。「この脆弱性により、無関係なユーザーがターゲットのデバイス上で任意のURLからのコンテンツ処理を引き起こす可能性がありました。当社は、この脆弱性がAppleプラットフォーム上のOSレベルの脆弱性(CVE-2025-43300)と組み合わされて、特定の標的ユーザーに対する高度な攻撃で悪用された可能性があると評価しています。」
問題となったAppleのバグについて、同社は8月20日にパッチを適用した際、「アウトオブバウンズ書き込みの問題」と説明しました。
「悪意のある画像ファイルを処理すると、メモリ破損が発生する可能性があります」と当時述べています。
「Appleは、この問題が特定の標的個人に対する極めて高度な攻撃で悪用された可能性があるという報告を認識しています。」
WhatsAppのバグについてさらに読む:スパイウェア製造業者NSOグループ、WhatsAppユーザーのハッキングで責任
両社の発表内容から、これらのバグが商用スパイウェアキャンペーンの一環として悪用された可能性が非常に高いと考えられます。実際、アムネスティ・インターナショナルのセキュリティラボ責任者であり、市民社会を標的としたスパイウェアの調査を行うDonncha Ó Cearbhaill氏によって、この事実が確認されています。
例えば2023年4月、セキュリティ研究者がゼロクリック、ゼロデイのエクスプロイトを発見しました。これは数年前にiPhoneユーザーを商用スパイウェアで標的にしたものでした。このキャンペーンでは、秘密主義のイスラエル企業QuaDreamが設計したマルウェアが使用されていました。
これらのエクスプロイトは、ユーザーの操作を一切必要としないため、被害者が自分の行動が監視されていることに全く気付かないという点で特に危険です。一度インストールされると、この種のスパイウェアや、NSOグループによる悪名高いPegasusなどは、デバイスのカメラ、マイク、メッセージ、写真など多くの情報にアクセスできるよう設計されています。
NSOグループは、WhatsAppとの長期にわたる法廷闘争の末、今年初めに1億6700万ドルの損害賠償支払いを命じられました。これは、2019年にPegasusが人権活動家、ジャーナリスト、外交官を含む1000人以上のWhatsAppユーザーを標的に使用されていたことが発覚したことに端を発しています。
CVE-2025-55177は、iOS版WhatsApp v2.25.21.73未満、iOS版WhatsApp Business v2.25.21.78、およびMac版WhatsApp v2.25.21.78に影響します。
画像クレジット:MardeFondos / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/whatsapp-patches-zeroday-zeroclick/