AppleがSafari/WebKitのゼロデイ脆弱性 CVE-2025-6558を一斉修正-Chromeでも悪用確認済み

セキュリティニュース

投稿日時: 更新日時:

AppleがSafari/WebKitのゼロデイ脆弱性 CVE-2025-6558を一斉修正-Chromeでも悪用確認済み

Appleは2025年7月30日、iOSやmacOSをはじめとする自社製品全ラインアップ向けにセキュリティアップデートを公開し、ウェブブラウザのANGLEおよびGPUコンポーネントにおける入力検証不備の脆弱性(CVE-2025-6558)を修正しました。本脆弱性は、細工したHTMLを処理することでサンドボックスを突破し、任意コード実行やアプリケーションのクラッシュを誘発し得るもので、Googleが今月初旬にChromeブラウザで実際のゼロデイ攻撃を確認したと公表しています。

修正対象と対応バージョン

以下の最新版へ速やかにアップデートしてください。

プラットフォーム 対応バージョン 対象デバイス例
iOS / iPadOS iOS 18.6 / iPadOS 18.6 iPhone XS以降、iPad Proシリーズ(第1世代以降)、iPad Air 3以降、iPad 7以降、iPad mini 5以降
iPadOS(旧世代向け) iPadOS 17.7.9 iPad Pro(12.9″第2世代)、iPad Pro(10.5″)、iPad 6
macOS macOS Sequoia 15.6 Sequoia搭載全Mac
tvOS tvOS 18.6 Apple TV HD/4K全モデル
watchOS watchOS 11.6 Apple Watch Series 6以降
visionOS visionOS 2.6 Apple Vision Pro

 

脆弱性の概要

本脆弱性(CVE-2025-6558、CVSSスコア8.8)は、Webブラウザの描画処理を担うANGLEおよびGPUコンポーネントにおいて、外部から与えられるHTMLコンテンツ中の不正または細工された入力を適切に検証できず、サンドボックス環境を突破される恐れがある点に起因します。

攻撃者は巧妙に構築したHTMLページを介してこれらの脆弱性を突き、ブラウザのサンドボックス制限を回避した上で任意のコード実行やプロセスの異常終了を引き起こすことが可能です。

実際に今月に入ってGoogle Chrome上でゼロデイ攻撃として悪用例が確認されており、WebKitを採用するSafariにも同様の危険が及ぶことから、速やかなアップデート適用が強く推奨されます。