Apple、「macOS」や「iOS」に影響するゼロデイ脆弱性を修正 悪用確認済み：セキュリティニュースアラート

Appleは、「macOS」や「iOS」などに影響するゼロデイ脆弱性（CVE-2026-20700）を修正した。この脆弱性を悪用し、任意のコードを実行する高度な攻撃も既に確認されている。早急なアップデートが推奨されている。

[ITmedia エンタープライズ編集部]

　Appleは2026年2月11日（現地時間）、同社製品のセキュリティアップデートを公開し、「macOS」や「iOS」「iPadOS」など複数のプラットフォームに影響する多数の脆弱（ぜいじゃく）性を修正した。今回の更新では悪用確認済みのゼロデイ脆弱性（CVE-2026-20700）への対処が含まれている。

悪用確認済みのゼロデイ脆弱性、速やかな更新を推奨

　CVE-2026-20700は、Appleの各種OSで利用されているDynamic Link Editor「dyld」に存在するメモリ破損に関する脆弱性だ。dyldはアプリ起動時に共有ライブラリーやフレームワークを読み込む基盤的コンポーネントで、OSの低層で動作する。該当箇所の欠陥は影響が大きく、Appleのセキュリティ情報によれば、メモリ書き込みが可能な攻撃者が任意のコードを実行できる可能性がある。これはアプリの読み込み処理に介入し、不正な命令をシステムメモリで実行させる恐れがあることを意味する。

　Appleは本件について、iOS 26より前のバージョンにおいて、特定の個人を標的とした高度な攻撃で悪用された可能性があるとの報告を認識していると説明している。詳細な攻撃手法や被害状況は明らかにしていない。

　CVE-2026-20700に関連して、2025年12月に対処済みのCVE-2025-14174およびCVE-2025-43529についても言及している。CVE-2025-14174はグラフィックスAPI「Metal」を利用するANGLEのMetalレンダラーコンポーネントにおける境界外メモリアクセスの問題とされる。CVE-2025-43529はWebKitにおける「Use-After-Free（解放後使用）」の脆弱性で、細工されたWebコンテンツを処理する際に任意コード実行につながる可能性がある。Appleはこれらの脆弱性がCVE-2026-20700を利用した同一の攻撃事案で悪用されたことを把握している。

　今回提供された更新は広範な製品群を対象とする。iOS 26.3およびiPadOS 26.3は、「iPhone 11」以降、「iPad Pro」（12.9インチ第3世代以降、11インチ第1世代以降）、「iPad Air」第3世代以降、「iPad」第8世代以降、「iPad mini」第5世代以降に適用される。「Mac」には「macOS Tahoe 26.3」が、「Apple TV」には「tvOS 26.3」が、「Apple Watch」には「watchOS 26.3」が、「Apple Vision Pro」には「visionOS 26.3」が公開された。

　旧バージョン利用者にも更新が提供されている。「iPhone XS」「iPhone XS Max」「iPhone XR」、iPad第7世代を対象とするiOS 18.7.5およびiPadOS 18.7.5、macOS Sequoia 15.7.4、macOS Sonoma 14.8.4、ならびにSafari 26.3もリリースされた。