Appleは2025年7月30日、iOSやmacOSをはじめとする自社製品全ラインアップ向けにセキュリティアップデートを公開し、ウェブブラウザのANGLEおよびGPUコンポーネントにおける入力検証不備の脆弱性(CVE-2025-6558)を修正しました。本脆弱性は、細工したHTMLを処理することでサンドボックスを突破し、任意コード実行やアプリケーションのクラッシュを誘発し得るもので、Googleが今月初旬にChromeブラウザで実際のゼロデイ攻撃を確認したと公表しています。
修正対象と対応バージョン
以下の最新版へ速やかにアップデートしてください。
| プラットフォーム | 対応バージョン | 対象デバイス例 |
|---|---|---|
| iOS / iPadOS | iOS 18.6 / iPadOS 18.6 | iPhone XS以降、iPad Proシリーズ(第1世代以降)、iPad Air 3以降、iPad 7以降、iPad mini 5以降 |
| iPadOS(旧世代向け) | iPadOS 17.7.9 | iPad Pro(12.9″第2世代)、iPad Pro(10.5″)、iPad 6 |
| macOS | macOS Sequoia 15.6 | Sequoia搭載全Mac |
| tvOS | tvOS 18.6 | Apple TV HD/4K全モデル |
| watchOS | watchOS 11.6 | Apple Watch Series 6以降 |
| visionOS | visionOS 2.6 | Apple Vision Pro |
脆弱性の概要
本脆弱性(CVE-2025-6558、CVSSスコア8.8)は、Webブラウザの描画処理を担うANGLEおよびGPUコンポーネントにおいて、外部から与えられるHTMLコンテンツ中の不正または細工された入力を適切に検証できず、サンドボックス環境を突破される恐れがある点に起因します。
攻撃者は巧妙に構築したHTMLページを介してこれらの脆弱性を突き、ブラウザのサンドボックス制限を回避した上で任意のコード実行やプロセスの異常終了を引き起こすことが可能です。
実際に今月に入ってGoogle Chrome上でゼロデイ攻撃として悪用例が確認されており、WebKitを採用するSafariにも同様の危険が及ぶことから、速やかなアップデート適用が強く推奨されます。








