PoC Exploit & Vulnerability Analysis Released for Apple 0-Day RCE Vulnerability
2025/08/25 CyberSecurityNews — Apple の画像処理インフラに影響を与える、深刻なゼロクリック・リモート・コード実行 (RCE) の脆弱性 CVE-2025-43300 に対して、詳細な PoC エクスプロイトと包括的な脆弱性分析が公開された。RawCamera.bundle 内の JPEG ロスレス解凍の Apple 実装に存在する、この脆弱性を悪用する攻撃者は、悪意を持って細工された DNG (Digital Negative) ファイルを通じて、ユーザー操作を必要とすることなく、コード実行を可能にする。
主なポイント
- 悪意の DNG ファイルにより、Apple の脆弱性がトリガーされ、リモート・コード実行 (RCE) が引き起こされる。
- 実際の標的型攻撃で、この脆弱性は悪用されている。
- ユーザーに対して強く推奨されるのは、iOS 18.6.2 以降への速やかなアップデートである。
Apple のゼロクリック・エクスプロイト
この脆弱性を悪用する攻撃者は、Apple の自動画像処理システムを介した、ゼロクリック・エクスプロイトを可能にするため、深刻なセキュリティ脅威が生じている。
研究者である b1n4r1b01 が公開したのは、詳細な技術分析と再現手順を実証する PoC エクスプロイトであり、RawCamera.bundle 内の JPEG ロスレス解凍ルーチンにおけるバッファ・オーバーフローに、この脆弱性 CVE-2025-43300 が起因することを明らかにした。
この攻撃メカニズムは、メタデータ宣言と実際の画像データとの不一致を悪用するものだ。具体的には、DNG ファイルが SubIFD ディレクトリで “SamplesPerPixel = 2” を宣言する一方で、埋め込まれた JPEG ロスレス・データの SOF3 (Start of Frame 3) ブロックに取り込まれるコンポーネントが1つの場合に、この脆弱性がトリガーされる。この不一致により、解凍中に境界外書き込みが発生し、攻撃者によるメモリ破壊と任意のコード実行が可能となる。
この PoC は、正規の DNG ファイルに最小限の変更を加えるだけのものであり、きわめて危険である。具体的には、オフセット 0x2FD00 を “01” から “02” に、オフセット 0x3E40B を “02” から “01” に変更するだけで、脆弱性を引き起こす。つまり、この変更により、深刻な不一致が生じることになる。
この脆弱性は、Apple の TIFF/DNG 解析エンジンと、JPEG ロスレス圧縮との相互作用における前提を悪用するものだ。Adobe のオープンソース RAW 画像フォーマット仕様に基づく DNG ファイルは、SubIFD に埋め込まれた JPEG ロスレス圧縮画像データを含む、TIFF コンテナ構造を利用している。
この攻撃は、複数のファイル形式規格間の、相互作用を悪用するものでもある。TIFF ヘッダ構造には、タグ/タイプ/カウント/値を指定する 12 Byte のディレクトリ・エントリを取り込む IFD (Image File Directory) が存在する。
攻撃の標的になりやすいのは、圧縮タグ値 “7” でマークされた JPEG ロスレス圧縮データを参照する、サブ IFD 内の SamplesPerPixel タグ (0x0115) である。
| Risk Factors | Details |
| Affected Products | iOS 18.6.1 and earlieriPadOS 18.6.1 and earliermacOS Sequoia 15.6.0 and earliermacOS Sonoma 14.7.7 and earliermacOS Ventura 13.7.7 and earlieriPadOS 17.7.9 and earlier |
| Impact | Remote Code Execution (RCE) |
| Exploit Prerequisites | Maliciously crafted DNG fileNo user interaction requiredAutomatic image processing enabledTarget device processing image via iMessage, AirDrop, or photo import |
| CVSS 3.1 Score | 9.8 (Critical) |
解凍ルーチンが JPEG データを処理する際に、SOF3 マーカー (0xFFC3) に基づきコンポーネント構造が判断される。SOF3 セグメントには、精度/寸法/コンポーネント数などの重要なメタデータが含まれる。このコンポーネント数が、事前に宣言された SamplesPerPixel 値と一致しない場合には、解凍アルゴリズムによるバッファ境界を超えた書き込みが行われる。
iOS 上の RawCamera.bundle は、多様な RAW 画像形式を処理するが、シンボル情報が存在しないためリバース・エンジニアリングは困難である。ただし、研究者の指摘によると、すべての JPEG ロスレス圧縮された DNG ファイルが、脆弱なコードパスに到達するわけではなく、提供された PoC サンプルとの一致が必要であるという。
セキュリティ・アドバイザリで Apple が認めているのは、特定の個人を標的とした高度な攻撃で、この脆弱性が積極的に悪用されていることである。それにより CVE-2025-43300 は、理論上の脆弱性から、確認済みの脅威アクター・ツールへと格上げされた。被害者にとって、悪意のファイル受信以外に操作は不要という、このゼロクリックの性質により、標的型監視オペレーションにおいて有効なツールとなる。
この脆弱性が影響を及ぼす範囲は、iOS 18.6.1/iPadOS 18.6.1、および、複数の macOS バージョンとなる。すでに Apple は、iOS 18.6.2/iPadOS 18.6.2/macOS Sequoia 15.6.1 などのリリースで、この問題に対処している。また、PoC により、iOS 18.6.2 でクラッシュが発生しないことも確認されており、緩和策が成功したことを示している。
iMessage/AirDrop/写真インポートなど複数の iOS サブシステムで、DNG ファイルは自動処理されるため、攻撃対象領域は直接的なファイル処理に留まらない。ユーザー組織にとって必要なことは、優先的なパッチ適用と、潜在的な悪用を検知するための追加メカニズムの実装である。
脆弱性 CVE-2025-43300 の原因は、JPEG ロスレス解凍の仕組みにおける設計上の不一致が原因とのことです。DNG ファイルに記録された “SamplesPerPixel” の値と、実際に JPEG データ内で宣言されるコンポーネント数が食い違うと、バッファの境界を越えてデータが書き込まれてしまいます。それを悪用する攻撃者は、ユーザー操作を必要とすることなく、コードを実行するゼロクリック攻撃を成立させると、この記事は指摘しています。よろしければ、2025/08/21 の「Apple iOS/iPadOS のゼロデイ脆弱性 CVE-2025-43300 が FIX:標的型攻撃での悪用を確認」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.