U.S. CISA adds Apple products’ flaw to its Known Exploited Vulnerabilities catalog
2025/01/29 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Apple の複数の製品に存在する Use-After-Free の脆弱性 CVE-2025-24085 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。今週に Apple がリリースしたのは、iPhone ユーザーを狙う攻撃で積極的に悪用されている、ゼロデイ脆弱性に対処するためのセキュリティ・アップデートだ。この脆弱性 CVE-2025-24085 は、Core Mediaフレームワークに影響を与える、権限昇格の脆弱性である。
Apple が公開したアドバイザリには、「悪意のアプリケーションのよる、権限昇格の可能性がある。この問題が、iOS のバージョン 17.2 以下に対して、積極的に悪用された可能性があるという報告を認識している」と記載されている。
Apple Core Media フレームワークは、iOS/macOS デバイスにおける、オーディオ/ビデオの再生/録画/操作などのマルチメディア・タスクをサポートしている。同社はメモリ管理を改善することで、Use-After-Free の問題に対処したとしている。
その一方で脅威アクターは、iOS 17.2 以下を実行しているデバイスをターゲットにして、この脆弱性を悪用した。
この脆弱性が影響を及ぼす範囲は、iPhone XS 以降/iPad Pro 13 インチ/iPad Pro 12.9 インチ第 3 世代以降/iPad Pro 11 インチ第 1 世代以降/iPad Air 第 3 世代以降/iPad 第 7 世代以降/iPad mini 第 5 世代以降となる。
すでに Apple は、iOS 18.3/iPadOS 18.3/macOS Sequoia 15.3/watchOS 11.3/visionOS 2.3/tvOS 18.3 をリリースし、この問題に対処している。
ただし、いつものように Apple は、この欠陥を悪用した攻撃について、詳細を共有していない。通常において、このような種類の脆弱性は、国家に支援される APT や、商用監視スパイウェア・ベンダーによる標的型攻撃で悪用される。
ユーザーに対して推奨されるのは、同社がリリースしたセキュリティ更新プログラムの速やかなインストールである。
拘束力のある運用指令 (BOD) 22-01: 悪用された既知の脆弱性の重大なリスクを軽減するために、FCEB 機関は指定された期限までに、特定された脆弱性に対処する必要がある。CISA は連邦政府機関に対して、この脆弱性を 2025年2月13日までに修正するよう命じている。
専門家たちは、このカタログを確認してインフラスの脆弱性に対処することを、民間組織に対しても推奨している。
Apple iOS/macOS の脆弱性 CVE-2025-24085 が、CISA KEV リストに追加されました。iPhone での悪用が観測されているとのことなので、連邦政府の職員が標的にされているのかもしれません。この脆弱性に関する第一報は、2025/01/27 の「Apple 製品群のゼロデイ脆弱性 CVE-2025-24085 が FIX:悪用を観測」です。よろしければ、Apple で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.