Apple 0-Day Vulnerabilities Exploited in Sophisticated Attacks Targeting iPhone Users
2025/12/13 CyberSecurityNews — Apple が公表したのは、iPhone iOS バージョン 26 以下を利用するユーザーを標的とした、高度な攻撃で積極的に悪用されている、WebKit の2件のゼロデイ脆弱性に対する修正である。2025年12月12日にリリースされた iOS 26.2/iPadOS 26.2 は、WebKit の脆弱性 CVE-2025-43529/CVE-2025-14174 に対処するものである。
- CVE-2025-43529:この脆弱性は、悪意のある Web コンテンツを介して任意のコード実行を可能にする use-after-free の脆弱性であり、Google Threat Analysis Group により発見された。
- CVE-2025-14174:この脆弱性は、関連するメモリ破損の問題であり、Apple と Google Threat Analysis Group により発見された。
いずれの脆弱性も、標的型スパイウェア攻撃キャンペーンに関連しており、iPhone 11 以降のモデルに加え、特定の iPad Pro/iPad Air/iPad mini の派生モデルにも影響する。
| CVE ID | Component | Impact | Description | Researcher(s) |
|---|---|---|---|---|
| CVE-2025-43529 | WebKit | Arbitrary code execution | Use-after-free, improved memory management | Google Threat Analysis Group |
| CVE-2025-14174 | WebKit | Memory corruption | Improved validation | Apple & Google TAG |
その他の重要な修正
Apple は、カーネル/Foundation/Screen Time/curl などの複数のコンポーネントに存在する、30 件以上の脆弱性にも対応している。
深刻な問題として、Alibaba Group の研究者により発見された、ルート権限の昇格を可能にするカーネルの整数オーバーフローの脆弱性 CVE-2025-46285 がある。また、Safari の履歴やユーザー・データを漏洩させる、複数の Screen Time ログ記録の脆弱性 CVE-2025-46277/CVE-2025-43538 も修正された。
WebKit では、タイプ・コンフュージョン/バッファ・オーバーフロー/クラッシュに対処する追加パッチが適用された (例:CVE-2025-43541/CVE-2025-43501) 。この他にも、libarchive の CVE-2025-5918 および curl の CVE-2024-7264/CVE-2025-9086 といったオープンソースの脆弱性も修正された。
| Component | CVE ID | Impact | Key Researcher |
|---|---|---|---|
| Kernel | CVE-2025-46285 | Root privileges | Kaitao Xie, Xiaolong Bai |
| Screen Time | CVE-2025-46277 | Access Safari history | Kirin (@Pwnrin) |
| Messages | CVE-2025-46276 | Access sensitive data | Rosyna Keller |
影響を受けるデバイスと緩和策
これらの脆弱性の影響を受けるデバイスは、iPhone 11 以降/iPad Pro 12.9 インチ (第 3 世代以降)/iPad Pro 11 インチ (第 1 世代以降)/iPad Air (第 3 世代以降)/iPad (第 8 世代以降)/iPad mini (第 5 世代以降) である。
ユーザーは、「設定」>「一般」>「ソフトウェア・アップデート」から直ちにアップデートを行い、これらの標的型エクスプロイトによるリスクを軽減する必要がある。
一連のエクスプロイトは、過去のスパイウェア攻撃インシデントで確認されたパターンと一致している。Apple は攻撃者に関する詳細を公表していないが、Google との協力関係は国家レベルの脅威の存在を示唆している。
| Product | Affected Versions | Patched Version | Compatible Devices |
|---|---|---|---|
| iOS | Before 26.2 (exploited pre-26) | 26.2 | iPhone 11 and later |
| iPadOS | Before 26.2 (exploited pre-26) | 26.2 | iPad Pro 12.9″ (3rd gen+), iPad Pro 11″ (1st gen+), iPad Air (3rd gen+), iPad (8th gen+), iPad mini (5th gen+) |
これらの脆弱性の主な原因は、Safari のブラウザ・エンジンである WebKit の、メモリ管理の不備にあります。具体的には、CVE-2025-43529 の原因となった use-after-free という現象が挙げられます。これは、一度解放されて不要になったはずのメモリ領域を、プログラムが誤って再参照してしまうことで発生する欠陥です。また、CVE-2025-14174 などのメモリ破損の脆弱性も、データの整合性を正しく確認できなかったことが原因で引き起こされます。こうしたメモリ周りの小さな隙を攻撃者に突かれると、認証なしに任意のコードを実行されたり、機密データにアクセスされたりするリスクが生じます。ご利用のチームは、ご注意ください。よろしければ、iPhone での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.