Apple Issues Emergency Updates to Patch Actively Exploited Zero-Day Vulnerability – CVE-2025-24200
2025/02/10 SecurityOnline — 2025年2月10日 (月) に Apple は、iOS/iPadOS の緊急セキュリティ・アップデートをリリースし、標的型攻撃で積極的に悪用されているゼロデイ脆弱性に対処した。この脆弱性 CVE-2025-24200 の悪用に成功した攻撃者は、ロックされたデバイスで USB 制限モードを無効化し、機密データへのアクセスを取得する可能性を手にする。
2018年に導入された USB 制限モードは、デバイスが7日間にわたりロック解除を維持する場合に、USB 経由でのデータ転送を防止するセキュリティ機能である。脆弱性 CVE-2025-24200 は、この保護を回避し、標的デバイスを危険にさらすものだ。
Apple のセキュリティ・アドバイザリには、「物理的な攻撃により、ロックされたデバイスの USB 制限モードが無効化される可能性がある。Apple は、この問題が特定の個人を標的にする、きわめて高度な攻撃で悪用された可能性があるという報告を認識している」と記されている。
この脆弱性は、サイバー・セキュリティ研究に重点を置く、トロント大学のグループ Citizen Lab の、上級研究員 Bill Marczak により発見された。Citizen Lab は、市民社会に対する高度なサイバー攻撃の発見において、顕著な実績を持っている。
Apple のアップデート版である iOS 18.3.1/iPadOS 18.3.1 では、状態管理の改善により脆弱性 CVE-2025-24200 が解決されている。
影響を受けるデバイス:
- iPhone XS and later
- iPad Pro (13-inch)
- iPad Pro 12.9-inch (3rd generation and later)
- iPad Pro 11-inch (1st generation and later)
- iPad Air (3rd generation and later)
- iPad (7th generation and later)
- iPad mini (5th generation and later)
この脆弱性は、きわめて限定された範囲での標的型攻撃で悪用されたようだが、影響を受けるデバイスのユーザーに推奨されるのは、ただちにセキュリティ・アップデートをインストールすることだ。
Apple iOS/iPadOS のゼロデイ脆弱性 CVE-2025-24200が FIX しました。標的型攻撃において、積極的に悪用されているとのことですので、アップデートを忘れないよう、お気をつけください。よろしければ、Apple で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.