Apple Font Parser Vulnerability Enables Malicious Fonts to Corrupt Process Memory
2025/09/30 CyberSecurityNews — Apple が展開したのは、Font Parser コンポーネントに存在する脆弱性 CVE-2025-43400 に対処するための、すべての OS に対するセキュリティ・アップデートである。この脆弱性を悪用する攻撃者は、コンテンツに埋め込んだ悪意のフォントを介して、アプリケーションのクラッシュやプロセス・メモリの破損を引き起こす恐れがある。
この脆弱性は、Font Parser における境界外書き込みに起因し、新たにリリースされた macOS Tahoe/iOS 26 などの広範な製品と、それ以前のバージョンに影響を及ぼす。具体的に言うと、割り当てられたバッファの末尾を超えて、プログラムがデータを書き込むことで引き起こされるメモリ安全性の欠陥であり、予期しない動作を引き起こす可能性がある。
ドキュメント/メール/Web ページなどに埋め込まれた、細工されたフォントにより、この脆弱性はトリガーされる。それらのコンテンツをユーザーが操作すると、脆弱な Font Parser コンポーネントが起動され、アプリの終了/メモリ破損などにいたるという。
すでに Apple は、境界チェックを改善し、フォント・データ処理時のソフトウェアが、指定されたメモリ空間内に留まるようにすることで、この問題に対処している。2025年9月29日に公開されたアドバイザリによると、現時点では、この脆弱性が実際に悪用された事例は確認されていない。
この CVE-2025-43400 の悪用により、任意のコード実行が生じる可能性は不明であるが、サービス拒否攻撃やメモリ破損のリスクは存在するため、迅速に対処すべき重要な問題である。このセキュリティ修正は、広範な Apple 製品に影響するとされ、エコシステム全体でのコードベースの共有が示されている。
なお、watchOS/tvOS のアップデートもリリースされたが、この脆弱性に対するパッチは含まれていない。ユーザーに対して強く推奨されるのは、影響を受けるデバイスに最新のアップデートを適用し、潜在的リスクを軽減することだ。
Apple セキュリティ・パッチ
| Product | Patched Version |
|---|---|
| iOS & iPadOS | 26.0.1 |
| iOS & iPadOS | 18.7.1 |
| macOS Tahoe | 26.0.1 |
| macOS Sequoia | 15.7.1 |
| macOS Sonoma | 14.8.1 |
| visionOS | 26.0.1 |
Apple の OS で発生した脆弱性は、Font Parser の割り当て済みバッファ長の検査不足などによる、境界外書き込みを引き起こすものである。細工された悪意のフォントを含むドキュメントやウェブを処理する際に、問題が引き起こされます。任意のコード実行が生じる可能性は不明ですが、サービス拒否攻撃やメモリ破損のリスクは存在するため、対応を急ぐべきだと、この記事は指摘しています。よろしければ、Apple で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.