Apple、ImageIOの重大なゼロデイ脆弱性を修正 ― 標的型攻撃の報告を受けて

Appleは、特定の個人を標的とした攻撃で既に悪用された可能性のあるImageIOフレームワークのゼロデイ脆弱性を修正するため、2つの新しいアップデートを公開しました。

この脆弱性はCVE-2025-43300として追跡されており、iOS 16.7.12およびiPadOS 16.7.12で修正されています。悪意のあるファイルが処理されると、Appleのスマートフォンでメモリ破損が発生する可能性があります。

月曜日に公開されたセキュリティアドバイザリで、Appleはこのバグが「範囲外書き込み（out-of-bounds write）」の問題に起因すると説明しています。「Appleは、この問題が特定の標的型個人に対して極めて高度な攻撃で悪用された可能性があるという報告を認識しています」とiPhoneメーカーは述べています。

この修正パッチは、最新バージョンのApple OSを実行していないものも含め、新旧のiPhone、iPadおよび関連デバイスの両方に影響します。同社は、この脆弱性が実際に悪用されている可能性があるため、すべてのユーザー、特に旧モデルのユーザーは直ちにアップデートをインストールするよう警告しています。

旧デバイスにもパッチをバックポート

CVE-2025-43300は重大度（CVSS 8.8/10）と評価され、先月iOS 18.6.2およびiPadOS 18.6.2で修正されました。月曜日、Appleはアクティブな悪用の報告を受けて、より古いEOLビルドにもパッチを拡張しました。

影響を受けるモジュールであるAppleのImageIOは、多くのiOS/iPadOSアプリケーションで画像の読み込み、書き込み、処理を担当するフレームワークです。脆弱性は、特定の悪意ある画像ファイルが処理される際に発生し、既存の境界チェックが不十分なため、システムが範囲外書き込みを行ってしまいます。

Appleのセキュリティ通知によれば、修正内容はフレームワーク内の境界チェックを強化し、範囲外書き込みを防ぐものです。最新アップデート（16.7.12）を受け取ったデバイスには、iPhone 8、8 Plus、X、第五世代iPad、および初期のiPad Proモデルが含まれます。

Appleは観測された攻撃の技術的詳細を公表していませんが、この種の攻撃シナリオは「ウォータリングホール」や「スピアフィッシング」、その他の標的型画像配信攻撃でよく見られ、特にリスクの高い個人が狙われる傾向があります。

攻撃者はコア画像サービスへとシフト

攻撃者は、明らかなネットワーク向けサービスやアプリケーションではなく、システムのコアソフトウェア内の画像処理モジュールに焦点を移しているようです。先週、Samsungは重大なバグ（CVE-2025-21043）を修正しました。これは、同社の画像ライブラリ「libimagecodec.quram.so」に影響し、細工された画像によってユーザー操作なしにリモートコード実行が可能となるものでした。

画像解析フレームワークは、メッセージングからメディアギャラリーに至るまで、デバイスのあらゆる動作に深く組み込まれているため、この種のエクスプロイトは一見無害な操作に紛れて静かに潜むことができます。

ユーザーは、スマートフォンやタブレットだけでなく、ImageIOまたは同等の画像処理モジュールを共有する関連デバイスもアップデートすることが推奨されます。ImageIOはコアフレームワークであり、ユーザーが無効化や置き換えを行うことはできないため、このバグには回避策が存在しないと考えるのが安全です。現実的な唯一の対策はアップデートのインストールです。

Appleは2025年にこれまで8件のゼロデイ脆弱性に対応しており、2024年には合計6件を修正しています。クパチーノの巨人は1年前には20件の同様のバグを修正しており、その中には悪名高いリモートコード実行バグCVE-2023-32434およびCVE-2023-32435も含まれています。これらはロシアを標的としたスパイ活動「Operation Triangulation」で使用されたとされています。