Apple Ships iOS 18.3.2 to Fix Already-Exploited WebKit Flaw
2025/03/11 SecurityWeek — 3月11日 (火) に Apple が発表したのは、モバイル OS の古いバージョンで悪用されている、WebKit の欠陥に対する修正を取り込んだ、iOS 18.3.2/iPadOS 1q8.3.2 のリリースである。この脆弱性 CVE-2025-24201 を悪用する攻撃者は、Web Content サンドボックスを突破する。Apple は「iOS バージョン 17.2 以下を使用する、特定の個人を標的にする、きわめて高度な攻撃で、悪用された可能性がある」と警告している。
Apple は、「このリリースは、iOS 17.2でブロックされた攻撃に対する補足的な修正を行うものだ。ユーザーを保護するために、Apple は調査を実施している。パッチまたはリリースが提供されるまで、このセキュリティの問題については、開示/議論/確認を行わない」と付け加えていた。
Appleは、このバグを境界外書き込みの問題と説明し、不正なアクションを防ぐためのチェックを改善/修正した。
ロックされた iPhone/iPad に物理的にアクセスできる攻撃者が、重要な保護メカニズムである USB 制限モードを無効化できるという、セキュリティ上の欠陥を Apple が修正してから、ちょうど1か月後に iOS 18.3.2 がロールアウトした。
今回のケースでは、このバグが、特定の標的の個人に対する、きわめて洗練された攻撃につながったと、Apple は述べていた。このエクスプロイトの発見は、トロント大学マンクスクール The Citizen Lab の Bill Marczak によるものである。それが示唆するのは、このエクスプロイトが国家レベルの監視に使用されたことだ。
この USB 制限モードとは、1時間以上にわたりデバイスがロックされている場合に、iPhone/iPad の Lightning / USB-C ポート経由での、データアクセスをブロックするように設計されたセキュリティ機能のことである。つまり、USB 経由でデバイスに接続し、パスコード解読やデータ抽出を試行する、ハッキング・ツールを阻止するために導入されものである。
ここのところ、Apple iOS の脆弱性の悪用がいくつか観測されています。また、同日に、この脆弱性 CVE-2025-24201 を修正した Safari/macOS Sequoia/visionOS のアップデートもリリースされています。ご利用の方は、アップデートを忘れないよう、お気をつけください。よろしければ、以下の関連記事も、Apple iOS で検索と併せて、ご利用下さい。
2025/02/10:iOS/iPadOS の脆弱性 CVE-2025-24200:悪用を確認
2025/01/29:Apple iOS/macOS の CVE-2025-24085 が KEV に登録
2025/01/27:Apple 製品群のゼロデイ CVE-2025-24085:悪用を観測
IoT OT Security News 
You must be logged in to post a comment.