「iPhoneで悪用されている欠陥」をAppleが修正 その影響範囲は:Apple製品を狙うゼロデイ攻撃
Appleは、「CVE-2025-24085」として追跡されているゼロデイ脆弱性が、同社のメディア処理フレームワークに影響を与え、iOS 17.2以前のバージョンで悪用された可能性があると発表した。
Appleは2025年1月27日(現地時間)、「iPhone」など同社製品に使われているメディア(音声や動画)処理フレームワーク「CoreMedia」のゼロデイ脆弱(ぜいじゃく)性が、既に攻撃に利用されていることを公表し、パッチ(修正プログラム)を適用したバージョンをリリースした。
攻撃に利用されたAppleのゼロデイ脆弱性とは
併せて読みたいお薦め記事
Apple製品に潜む脆弱性
新たに発見された重大な脆弱性「CVE-2025-24085」は、ベンダーがまだ認識しておらずパッチ(修正プログラム)が提供されていない欠陥「ゼロデイ脆弱性」の一つ。CVE-2025-24085は、プログラムが既に使用を終えて解放したメモリ領域に不正にアクセスできてしまう「Use-After-Free」(UAF)と呼ばれる脆弱性で、攻撃者がシステム管理者と同等の権限を不正に取得できる可能性がある。
この脆弱性は以下のApple製OSに影響している。
- iPhoneやiPad向けの「iOS」「iPadOS」
- Mac向けの「macOS」
- Apple Watch向けの「watchOS」
- Apple TV向けの「tvOS」
- AR(拡張現実)/VR(仮想現実)ヘッドセット向けの「visionOS」
Appleはセキュリティ勧告の中で「この脆弱性はiOS 17.2以前のバージョンで積極的に悪用された可能性がある」と述べている。脆弱性の危険度を10段階で示す「CVSSスコア」は原稿執筆時点で発表されていない。
Appleは、この問題を「メモリ管理の改善」によって修正したと説明。修正が適用されたバージョンは以下の通り。
- iOS 18.3
- iPadOS 18.3
- macOS Sequoia 15.3
- watchOS 11.3
- tvOS 18.3
- visionOS 2.3
Appleは通常、セキュリティ勧告において脆弱性に関する詳細をあまり公開しないため、CVE-2025-24085の具体的な技術的内容や攻撃の範囲については明らかになっていない。発見者についても言及されていない。米Informa TechTargetはAppleにコメントを求めたが、記事の公開時点では回答は得られていない。
近年、Appleは多数のゼロデイ脆弱性に対処してきた。その多くは、iOSデバイスを標的とする商用スパイウェア業者によって悪用されている。このような脅威に対応するため、Appleは2021年にイスラエルのスパイウェア企業NSO Groupを提訴した。しかし、2023年9月には、スパイウェア対策に関する機密情報を公にしたくないとして訴訟を取り下げている。
最近のゼロデイ攻撃はiOSデバイスだけでなく、macOSにも及んでいる。2024年11月には、「CVE-2024-44308」と「CVE-2024-44309」という2つのmacOSゼロデイ脆弱性が発見された。GoogleのThreat Analysis Group(TAG)の研究者によって発見されたこれらの脆弱性は、macOSに対する攻撃の増加と関連があるとされている。サイバーセキュリティ企業SentinelOneやTrellixの報告によると、macOSを標的とした悪意ある活動が活発化しているとのことだ。
(翻訳・編集協力:編集プロダクション雨輝)
TechTarget発 先取りITトレンド
米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.