CVE-2025-24201 脆弱性
Apple は、CVE-2025-24201 として識別されるゼロデイ脆弱性を修正する重要なセキュリティ アップデートのリリースを発表しました。この欠陥は、「極めて高度な」攻撃で積極的に悪用されており、WebKit Web ブラウザ エンジンに影響します。この問題には、境界外書き込みの脆弱性が含まれ、攻撃者が Web コンテンツ サンドボックスをバイパスして、デバイスのセキュリティを危険にさらす可能性があります。
目次
CVE-2025-24201: 技術的な詳細
CVE-2025-24201 の脆弱性は、境界外書き込みに分類されます。これは、攻撃者が安全でない Web コンテンツを作成し、不正なアクションを実行できるようにする欠陥の一種です。この問題を悪用すると、攻撃者は WebKit サンドボックスを突破し、影響を受けるデバイスを制御できる可能性があります。Apple は、これらの不正なアクションの発生を防ぐために、セキュリティ チェックを強化することで対応しました。このパッチは、iOS 17.2 でブロックされた以前の攻撃に対する補足的な修正としても機能します。
標的型攻撃における積極的な悪用
Apple 社は、この脆弱性が特定の個人を狙った非常に高度な攻撃に悪用された可能性があることを認めている。しかし、同社は攻撃の起源、標的のユーザー層、悪用がどのくらい続いたかなどの詳細は明らかにしていない。さらに、この欠陥が Apple 社内のセキュリティ チームによって発見されたのか、外部の研究者によって報告されたのかは不明である。
影響を受けるデバイスとソフトウェアバージョン
セキュリティ アップデートは、次のデバイスとソフトウェア バージョンで利用できます。
- iOS 18.3.2 および iPadOS 18.3.2: iPhone XS 以降、iPad Pro 13 インチ (第 3 世代以降)、iPad Pro 12.9 インチ (第 3 世代以降)、iPad Pro 11 インチ (第 1 世代以降)、iPad Air (第 3 世代以降)、iPad (第 7 世代以降)、iPad mini (第 5 世代以降)。
- macOS Sequoia 15.3.2: macOS Sequoia を実行している Mac。
- Safari 18.3.1: macOS Ventura および macOS Sonoma を実行している Mac。
- visionOS 2.3.2: Apple Vision Pro。
Apple のゼロデイ脆弱性への継続的な取り組み
これは、Apple が 2025 年に修正した 3 番目のゼロデイ脆弱性です。Apple は以前、CVE-2025-24085 と CVE-2025-24200 にも対処しており、Apple のエコシステムを標的としたサイバー攻撃の複雑さが増していることを浮き彫りにしています。これらのタイムリーなパッチは、最新のセキュリティ修正プログラムで更新し続けることの重要性を強調しています。
保護を維持する方法
Apple は、この脆弱性から保護するために、ユーザーにデバイスを直ちに更新するよう呼びかけています。デバイスを更新するには:
- iPhone および iPad : 「設定」>「一般」>「ソフトウェア・アップデート」に移動し、最新のアップデートをインストールします。
- Mac : システム設定 > 一般 > ソフトウェアアップデートを開いて、最新の macOS アップデートを適用します。
- Safari : Ventura または Sonoma の Mac ユーザーは、システム設定 > ソフトウェア アップデートから Safari を更新する必要があります。
- Apple Vision Pro : 「設定」>「一般」>「ソフトウェア・アップデート」から visionOS を更新します。
最新のアップデートを適用することで、ユーザーはこのゼロデイ脆弱性による悪用リスクを軽減し、Apple デバイスのセキュリティを強化できます。
Apple がこのセキュリティ上の欠陥に迅速に対応したことは、高度なゼロデイ攻撃からユーザーを保護するための継続的な取り組みを反映しています。攻撃の規模と発生源に関する透明性の欠如が懸念を引き起こしていますが、このパッチは影響を受けるデバイスに重要な保護を提供します。ユーザーは、進化するサイバー脅威に対する継続的なセキュリティを確保するために、タイムリーなアップデートを優先する必要があります。
CVE-2025-24201 脆弱性ビデオ
ヒント:サウンドをオンにして、フルスクリーンモードでビデオを視聴します。
