アップルは、iPhone、iPad、Vision Proゴーグル、Apple TV、macOS Sequoia Macの中核となるソフトウェアのセキュリティホールを塞いだが、一部の悪意ある人物がすでにこのバグを悪用していると警告している。
CVE-2025-24085として追跡されているこの脆弱性は、iOS、macOSなどに共通するCoreMediaコンポーネントに存在するuse-after-free()の脆弱性で、iGiantはメモリ管理の改善によって修正されたと発表しています。CoreMediaは、基本的にApple製品がオーディオとビデオを処理するためのエンジンです。
このバグがどのように、そして誰が攻撃に悪用しているのかについては、ほとんど、いや、全く情報がありません。ただ、誰かのデバイス上の不正アプリがシステム制御を強化するためにこのバグを利用する可能性があること、そしてiOSデバイスに対してこのバグが悪用されたことがあることくらいしか分かっていません。今後数日でさらに詳細が明らかになる可能性が高いですが、現時点では、この脆弱性がゼロデイ攻撃として悪用されたことが分かっており、これはAppleにとって2025年初の脆弱性となります。
Appleは月曜日に公開した5つのセキュリティアップデートで、「悪意のあるアプリケーションが権限を昇格できる可能性がある」と指摘した。「Appleは、この問題がiOS 17.2より前のバージョンのiOSで積極的に悪用された可能性があるという報告を認識している」
AppleはCVE-2025-24085を発見したセキュリティ研究者やグループを公表しておらず、CVSSの深刻度評価とCVEレコードの詳細情報の発表をまだ待っている状態です。この脆弱性の詳細は一部の人々に知られており、パッチもすでに提供されているため、誰かがiOSから他のApple OSにこの脆弱性を移植して被害者を攻撃しようとする場合に備えて、影響を受けるすべてのデバイスに修正プログラムを適用することをお勧めします。
次期macOS Sequoia 15.3、iOS 18.3でApple Intelligenceがデフォルトでオンに
続きを読む
この脆弱性は複数のiPhoneとiPadに影響しており、iOS 18.3およびiPadOS 18.3でこれらの製品の脆弱性が修正されます。このソフトウェアアップデートは、iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ(第3世代以降)、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第7世代以降)、iPad mini(第5世代以降)で現在利用可能です。
また、この問題を解決するには、Apple Vision Pro ユーザーは visionOS 2.3 にアップグレードする必要があります。Apple TV HD および Apple TV 4K の全モデルは tvOS 18.3 をダウンロードする必要があります。また、Apple の macOS Sequoia オペレーティングシステムを実行しているユーザーは、macOS Sequoia バージョン 15.3 にアップデートする必要があります。
さらに、Apple Watch Series 6以降を装着しているユーザーは、watchOS 11.3にアップデートすることを強くお勧めします。
これらのアップデートは、CVE-2025-24085よりもはるかに多くのバグに対処していると言わざるを得ません。例えば、iOSのCVE-2025-24137(修正済み)は、AirPlay経由で悪用され、被害者のデバイス上でコードが実行される可能性があります。CVE-2025-24145は、アプリがシステムログからユーザーの電話番号を割り出すために利用される可能性があります。CVE-2025-24107は、不正アプリがルート権限を取得するために利用される可能性があります(macOS 15で発生、15.3で修正済み)。CVE-2025-24159は、カーネル権限でコードを実行するために悪用される可能性があります(macOS 15)。SafariのCVE-2025-24128は、アドレスバーを改ざんして悪意のあるサイトを本物に見せかけるために悪用される可能性があります。
また、macOS Sonoma 14.7.3では、カーネルのCVE-2025-24159を含む様々なセキュリティ修正がリリースされました。Ventura 13.7.3にもセキュリティパッチが多数含まれています。®
