1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. Apple(アップル) iOS/iPadOS 26.2を公開 標的型攻撃で悪用中のWebKitゼロデイ2件を含む多数の脆弱性を修正(CVE-2025-43529,CVE-2025-14174)

Apple(アップル) iOS/iPadOS 26.2を公開 標的型攻撃で悪用中のWebKitゼロデイ2件を含む多数の脆弱性を修正(CVE-2025-43529,CVE-2025-14174)

セキュリティニュース

投稿日時: 更新日時:

Apple(アップル) iOS/iPadOS 26.2を公開 標的型攻撃で悪用中のWebKitゼロデイ2件を含む多数の脆弱性を修正(CVE-2025-43529,CVE-2025-14174)

アップルは日本時間12月12日、iPhone/iPad向けの最新アップデート「iOS 26.2」「iPadOS 26.2」をリリースしました。今回の更新では、Webブラウザエンジン「WebKit」のゼロデイ脆弱性2件(CVE-2025-43529、CVE-2025-14174)を含む多数のセキュリティ問題が修正されており、同社は早急なアップデートを強く呼びかけています。

悪用中のWebKitゼロデイ2件を修正

記事ベースの分析によると、今回最も緊急度が高いのは、いずれもWebKitに起因する以下の2件です。

  • CVE-2025-43529(WebKit/Use-After-Free)
    Google Threat Analysis Group(TAG)が報告した脆弱性で、Safariなどで「細工されたWebコンテンツ」を処理するだけで任意コード実行につながる可能性があります。アップルは、メモリ管理の改善(use-after-freeの修正)により対策を行ったと説明しています。

  • CVE-2025-14174(WebKit/メモリ破壊)
    AppleとGoogle TAGが共同で報告した問題で、悪意あるWebページを開くだけでメモリ破壊が発生し、同様にコード実行へ悪用されるおそれがあります。入力検証とバリデーションの強化によって修正されたとされています。

アップルは両脆弱性について、公式ドキュメントの中で

「iOS 26より前のバージョンを実行している特定の個人を標的とした、極めて高度な攻撃で悪用された可能性がある」
と明記しており、ジャーナリストや活動家、政府関係者など、いわゆるハイリスクユーザーを狙うスパイウェアキャンペーンで使われた可能性が高いと見られます。

ゼロデイが公表されたことで、他の攻撃者が修正内容を分析し、より広範な攻撃に悪用するリスクも高まるため、一般ユーザーにとってもアップデートは急務です。

対象端末

iOS 26.2/iPadOS 26.2は、次の端末を対象としています。

  • iPhone 11 以降

  • iPad Pro 12.9インチ(第3世代以降)

  • iPad Pro 11インチ(第1世代以降)

  • iPad Air(第3世代以降)

  • iPad(第8世代以降)

  • iPad mini(第5世代以降)

これらの端末を利用しているユーザーは、設定アプリの「ソフトウェア・アップデート」から最新版への更新が可能です。

プライバシーや権限に関わる多数の修正

今回のアップデートでは、WebKit以外にも、以下のような重要な脆弱性が多数修正されています。いずれも悪用された場合、プライバシー侵害や権限の不正取得につながりかねない内容です。

  • Kernel(CVE-2025-46285)
    タイムスタンプの扱いに起因する整数オーバーフローにより、アプリがルート権限を取得できる可能性があった問題を修正。カーネルレベルの権限昇格に直結するため、影響はきわめて大きいと言えます。

  • App Store(CVE-2025-46288)
    権限チェックの不備により、アプリが決済トークンなどの機微な支払い情報にアクセスできる可能性があった問題を、追加制限の導入によって解消しています。

  • Icons(CVE-2025-46279)
    アプリがユーザー端末にインストールされている他アプリを把握できてしまう権限問題を修正。どのアプリを使っているかという情報も、プロファイリングや追跡に悪用され得るため、プライバシー観点で重要な修正です。

  • Messages(CVE-2025-46276)、MediaExperience(CVE-2025-43475)、Telephony(CVE-2025-46292)、Screen Time関連複数件
    ログ出力や権限管理の不備により、アプリが本来アクセスできないユーザーデータやSafariの閲覧履歴にアクセスできる可能性があった問題を、データのマスキング・権限チェックの強化などで修正しています。

  • Photos(CVE-2025-43428)
    設定の不備により、「非表示アルバム」に格納した写真が認証なしで閲覧できてしまう可能性があった問題を、設定の見直しと追加制限で修正しています。

  • FaceTime/Calling Framework(CVE-2025-43542、CVE-2025-46287)
    FaceTimeのリモート操作中にパスワード入力欄が意図せず見えてしまう問題や、発信者IDを偽装できるUI上の不整合を、状態管理の改善によって解消しています。

  • Foundation、AppleJPEG、libarchive、Multi-Touch など
    ファイル処理や入力処理における境界チェック不足・メモリ破壊・クラッシュの原因となる問題を、バウンダリチェックや入力検証の強化によって多数修正しています。
    curl・libarchiveといったオープンソースコンポーネントについても、第三者が割り当てたCVE(例:CVE-2024-7264、CVE-2025-5918 等)に対するパッチが取り込まれています。

関連記事

Apple、極めて高度なサイバー攻撃に悪用された脆弱性を修正(CVE-2025-24201)Apple、極めて高度なサイバー攻撃に悪用された脆弱性を修正(CVE-2025-24201) AppleのUSB制限モードが回避される深刻な脆弱性、極めて高度な攻撃で悪用が可能(CVE-2025-24200)AppleのUSB制限モードが回避される深刻な脆弱性、極めて高度な攻撃で悪用が可能(CVE-2025-24200) AppleがSafari/WebKitのゼロデイ脆弱性 CVE-2025-6558を一斉修正-Chromeでも悪用確認済みAppleがSafari/WebKitのゼロデイ脆弱性 CVE-2025-6558を一斉修正-Chromeでも悪用確認済み Apple、iOS 18.5とiPadOS 18.5で多数の深刻な脆弱性を修正Apple、iOS 18.5とiPadOS 18.5で多数の深刻な脆弱性を修正 Apple、旧版のiOS/macOSのゼロデイ 脆弱性へ修正パッチをリリースApple、旧版のiOS/macOSのゼロデイ 脆弱性へ修正パッチをリリース パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告 Cisco IOS/IOS XE の SNMPに脆弱性(CVE-2025-20352)Cisco IOS/IOS XE の SNMPに脆弱性(CVE-2025-20352) Apple、iPhoneを狙ったゼロデイ 攻撃に緊急対応 -iOSにセキュリティアップデートを配信Apple、iPhoneを狙ったゼロデイ 攻撃に緊急対応 -iOSにセキュリティアップデートを配信 パスキーとは?メリットや概要を解説パスキーとは?メリットや概要を解説