「iOS」「iPadOS」「macOS」を標的にしたゼロデイ脆弱性 画像を用意するだけで悪用可能：セキュリティニュースアラート

AppleはImageIOに存在する境界外書き込み脆弱性「CVE-2025-43300」への対策としてiOSやiPadOS、macOSにセキュリティアップデートを公開した。多数のApple製品が対象となっており、ユーザーは速やかに更新することが望まれている。

[後藤大地，有限会社オングス]

　Appleは2025年8月20日（現地時間）、「iOS」「iPadOS」「macOS」におけるゼロデイ脆弱性「CVE-2025-43300」に対応するセキュリティアップデートを公開した。今回修正対象の問題は、「ImageIO」フレームワークに存在するメモリ破損の不具合であり、細工した画像ファイルを処理することで発生する可能性がある。

iOS、iPadOS、macOSにゼロデイ脆弱性　CVSSスコア8.8

　報告されている脆弱性は次の通りだ。

• CVE-2025-43300：　境界外書き込み（out-of-bounds write）の脆弱性。悪意のある画像ファイルを処理すると、メモリ破損が発生する可能性がある。Appleによれば、この問題が実際に特定の個人を標的とした高度な攻撃として悪用されている可能性があると報告している。Appleはこの問題を境界チェックの改善によって解消したと説明している。共通脆弱性評価システム（CVSS）のスコアは8.8とされ、深刻度「重要」（High）と評価されている

　今回の修正は複数のプラットフォームに影響を与えている。対象となるApple製品は次の通りだ。

• iOS 18.6.2およびiPadOS 18.6.2：　対象はiPhone XS以降、iPad Pro 13インチモデル、12.9インチ（第3世代以降）、11インチ（第1世代以降）、iPad Air（第3世代以降）、iPad（第7世代以降）、iPad mini（第5世代以降）
• iPadOS 17.7.10：対象はiPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）
• macOS Sequoia 15.6.1：　macOS Sequoia対応デバイス
• macOS Sonoma 14.7.8：　macOS Sonoma対応デバイス
• macOS Ventura 13.7.8：　macOS Ventura対応デバイス

　Appleは顧客の安全を守るため、調査が完了し修正版が提供可能になるまでセキュリティの詳細を公開しない方針を採っている。今回も例外ではなく、脆弱性の発見経緯や攻撃の詳細については言及されていない。ただし、CVE番号として「CVE-2025-43300」が付与されており、Apple自身が問題を報告者として記録している。

　攻撃の範囲については「特定個人を狙ったもの」との記述にとどまっているため、広範な攻撃キャンペーンに利用した兆候は確認されていない。しかし、ゼロデイ脆弱性のため、悪用の可能性が存在する点には注意が必要だ。特にImageIOはシステム全体で画像処理に使われるため、ユーザーが意図せず攻撃対象のファイルを開くことで被害につながるリスクがある。

　今回の修正はiPhoneやiPad、Macの幅広いモデルが対象となっている。利用者は速やかに最新のOSバージョンに更新することが推奨される。