CVE-2025-24085: Apple Patches Actively Exploited Zero-Day Vulnerability
2025/01/27 SecurityOnline — Apple がリリースし緊急セキュリティ・アップデートは、 iOS/iPadOS/macOS/tvOS/watchOS/visionOS に影響を及ぼす、ゼロデイ脆弱性 CVE-2025-24085 (CVSS:7.8) に対処するものだ。この脆弱性が悪用されると、デバイス上の高権限が、悪意のアプリケーションにより獲得する可能性がある。すでに iPhone ユーザーを標的にした、実環境での悪用が確認されている。
脆弱性 CVE-2025-24085 は、Apple の Core Media フレームワーク内に存在する。Core Media とは、Apple のエコシステム全体において、 AVFoundation などの高レベル・メディア・フレームワークが使用する、メディア・パイプラインを支える重要なコンポーネントである。つまり、Apple デバイスにおける、動画の再生から音楽のストリーミングにいたるまでの、あらゆる機能を支えるエンジンのようなものだ。その Core Media の欠陥により、重大な影響が生じる可能性があるという。
Apple のアドバイザリには、「我々は、iOS 17.2 未満のバージョンにおいて、この脆弱性が積極的に悪用された可能性があるという報告を認識している」と記載されている。この発表が浮き彫りにするのは、事態の緊急性と、デバイスを直ちに更新することの重要性である。
このゼロデイ脆弱性 CVE-2025-24085 の影響は広範囲に及び、以下のデバイスなどの、広範な製品群に影響を与える:
- iPhone:iPhone XS 以降
- iPad:iPad Pro 13インチ/12.9インチ (第3世代以降) /11インチ (第1世代以降) 、iPad Air (第3世代以降) 、iPad (第7世代以降) 、iPad mini (第5世代以降)
- Mac:macOS Sequoia
- Apple Watch:Apple Watch Series 6 以降
- Apple TV:Apple TV HD/Apple TV 4K (全モデル)
2025年1月27日にリリースされた一連のアップデート (iOS 18.3/iPadOS 18.3/macOS Sequoia 15.3/watchOS 11.3/visionOS 2.3/tvOS 18.3) では、メモリ管理が改善されたことで、脆弱性 CVE-2025-24085 への対応が完了している。
Apple は、この脆弱性の発見者および、現在進行中の攻撃の詳細について公表していない。しかし、この脆弱性は積極的に悪用されているため、ユーザーに強く推奨されるのは、速やかなパッチ適用である。
ユーザーに推奨される対策
- 細心の注意を払う:信頼できないソースからの不審なリンクのクリックや、アプリのダウンロードは避ける。それにより、脆弱性にさらされるリスクを、最小限に抑えられる。
- 速やかにアップデートする:iPhone/iPad/Mac/Apple Watch/Apple TV 向けの、最新のセキュリティ・アップデートが提供された時点で、速やかにインストールする。それが、自分の身を守る上で、最も重要なステップである。
- 定期的にアップデートを確認する:デバイスの自動アップデートを有効にしておき、今後のセキュリティ・パッチを迅速に受け取れるようにしておく。
Apple の、ほぼ全てのデバイスに影響を及ぼす、Core Media フレームワークの脆弱性が FIX しました。すでに、iPhone への攻撃が確認されているようですので、ご利用のユーザーさんは、ご注意ください。よろしければ、Apple で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.