Urgent Apple Security Patch: Zero-Day Exploits Target iPhones
2025/04/16 SecurityOnline — Apple が公表したのは、macOS/iOS/iPadOS/tvOS/visionOS などで構成される、エコシステム全体を対象とする緊急セキュリティ・アップデートのリリースに関する情報である。それにより、2つのゼロデイ脆弱性が修正されたが、すでに特定の iPhone ユーザーを標的とする、極めて高度な攻撃で積極的に悪用されているという。
それらの脆弱性 CVE-2025-31200/CVE-2025-31201 は、Apple の社内チームと Google の Threat Analysis Group (TAG) が共同で発見したものである。Apple は、標的型攻撃での2つの脆弱性の悪用を認めているが、このオペレーションを操る人物や影響の範囲については明らかにしていない。
4月16日 (水) に公開したセキュリティ情報で Apple は、「iOS の特定のユーザーを標的とする、きわめて高度な攻撃で、この脆弱性が悪用された可能性があるという報告を認識している」と述べている。
1つ目の脆弱性は、Apple の低レベルオーディオ処理フレームワーク CoreAudio に存在する。 この脆弱性 CVE-2025-31200 は、悪意を持って作成されたオーディオ・ストリームの処理でトリガーされ、リモートの攻撃者に対して、標的デバイス上での任意のコード実行を許す可能性がある。このオーディオ・ストリームは、メディア・ファイルに埋め込まれている可能性あるため、さらに懸念は広がる。
この脆弱性は複数の Apple プラットフォームに影響を及ぼし、秘密裏に悪用される可能性があるため、スパイ活動を目的とする脅威アクターにとって、理想的な攻撃ベクターになっている。
2つ目の脆弱性 CVE-2025-31201 は、RPAC (Remote Procedure Authentication Component) で発見され、Read/Write 権限を持つ攻撃者に対して、Pointer Authentication Codes (PAC) バイパスを許す可能性があるものだ。PAC とは、Apple Silicon のセキュリティ・メカニズムであり、関数ポインタを検証することで、メモリ破損攻撃の軽減を目的としている。
PAC バイパスに成功した攻撃者は、侵害したデバイス上での権限の昇格や、ステルス性の維持を達成する可能性を手にするため、長期的な監視やデータ窃取の恐れが生じる。
攻撃者の身元と手口について、Apple は口を閉ざしている。いつものように同社は、エクスプロイトの配信方法や、侵害を受けたユーザーについては明らかにしていない。
すでに Appleは、重要なソフトウェア・アップデートをリリースし、この脅威に対処している:
- iPhone/iPad:iOS 18.4.1/iPadOS 18.4.1
- macOS Sequoia:15.4.1
- tvOS:18.4.1
- Apple Vision Pro:visionOS 2.4.1
ユーザーに推奨されるのは、特にジャーナリスト/活動家/著名人などに強く推奨されるのは、直ちにデバイスをアップデートすることである。
これらの脆弱性は、すでに標的型攻撃での悪用が確認されているとのことです。ユーザーの皆さんは、デバイスのアップデートを忘れないよう、お気をつけください。 よろしければ、以下の関連記事も、 iOS で検索と併せて、ご参照ください。
2025/01/29:iOS/macOS の CVE-2025-24085 が CISA KEV に
2024/11/12:macOS CVE-2024-23222 が FIX:悪用を観測
IoT OT Security News 
You must be logged in to post a comment.