WhatsAppは、Appleユーザーを標的とした高度な攻撃で悪用されたゼロデイ脆弱性の詳細を共有しました。
CVE-2025-55177(CVSSスコア8.0)として追跡されているこのバグは、「リンクされたデバイスの同期メッセージの認証が不完全である」と説明されています。
攻撃者はこの問題を悪用し、被害者のデバイス上で任意のURLからのコンテンツ処理を引き起こすことができた可能性があると、WhatsAppのアドバイザリには記載されています。
「私たちは、この脆弱性がAppleプラットフォームのOSレベルの脆弱性(CVE-2025-43300)と組み合わされて、特定の標的ユーザーに対する高度な攻撃で悪用された可能性があると評価しています」と、Metaが所有するこのコミュニケーションプラットフォームは述べています。
8月20日に修正されたCVE-2025-43300は、AppleのiOS、iPadOS、macOS製品のImageIOフレームワークコンポーネントに影響を与える、範囲外書き込みの問題です。
クパチーノに本拠を置くこのテック大手は、iOS 18.6.2およびiPadOS 18.6.2、iPadOS 17.7.10、macOS Sequoia 15.6.1、macOS Sonoma 14.7.8、macOS Ventura 13.7.8でこの欠陥を修正しましたが、技術的な情報は共有せず、積極的に悪用されていることを警告しました。
「Appleは、この問題が特定の標的個人に対する極めて高度な攻撃で悪用された可能性があるという報告を認識しています」とAppleは述べています。
WhatsAppは、CVE-2025-55177をiOS版WhatsAppバージョン2.25.21.73、iOS版WhatsApp Businessバージョン2.25.21.78、Mac版WhatsAppバージョン2.25.21.78で7月と8月に修正しましたが、観測された攻撃の詳細も共有していません。
広告。スクロールして続きをお読みください。
しかし、アムネスティ・インターナショナルのDonncha Ó Cearbhaill氏によると、これらのセキュリティ欠陥はゼロクリック攻撃で連鎖的に利用され、スパイウェアキャンペーンの一部とみられています。
「初期の兆候では、WhatsApp攻撃はiPhoneとAndroidの両方のユーザー、特に市民社会の関係者に影響を与えているようです。政府のスパイウェアは、ジャーナリストや人権擁護者にとって引き続き脅威となっています」とÓ Cearbhaill氏はXで述べました。
Appleの欠陥がコア画像ライブラリに影響を与えていることから、攻撃者は他のアプリケーションも悪用した可能性があるとÓ Cearbhaill氏は述べています。
ゼロデイ脆弱性へのパッチを展開することに加え、WhatsAppは潜在的に標的となった個人にも通知を送りました。Metaによると、約200人が通知を受けたとのことです。
「WhatsAppとAppleデバイスは、特に上級幹部の間で世界で最も広く使われているテクノロジーの一つです。その人気ゆえに、彼らは主要な標的となります。攻撃者は、侵入方法を見つければ大きな見返りがあることを知っています。そのため、今回のようなゼロクリック脆弱性を発見するために敵対者が多大な投資をしているのです」とJamfのシニアセキュリティ戦略マネージャー、アダム・ボイントン氏は述べています。
関連記事: Paragonスパイウェア攻撃がWhatsAppゼロデイを悪用
翻訳元: https://www.securityweek.com/whatsapp-zero-day-exploited-in-attacks-targeting-apple-users/