WhatsAppのセキュリティチームは、iOS版・Business版・Mac版に存在したゼロクリック脆弱性「CVE-2025-55177」を修正しました。リンク済みデバイス間の同期メッセージの認可が不十分だったため、本来無関係の第三者でも被害端末に任意URLのコンテンツ処理を誘発できる点が問題でした。
単体でも危険ですが、AppleプラットフォームのOS側ゼロデイ「CVE-2025-43300(Image I/Oの境界外書き込み)」と組み合わされることで、
ユーザー操作ほぼ不要のリモートコード実行につながる連鎖攻撃が成立するとWhatsAppは評価しています。
脆弱性の概要
今回のWhatsApp側の脆弱性は、以下のバージョンで修正されています。対象ユーザーは直ちに更新してください。
iOS版はv2.25.21.73以降、iOS向けBusiness版はv2.25.21.78以降、Mac版はv2.25.21.78以降が安全なバージョンです。あわせて、AppleのiOS/iPadOS/macOSの最新セキュリティアップデートを適用し、Image I/Oのゼロデイ(CVE-2025-43300)も必ず塞いでください。
サイバー攻撃への悪用が容易に可能
攻撃者は、被害者の端末に対してリンクデバイス同期メッセージを悪用し、WhatsAppアプリに攻撃者が用意したURLの内容を処理させることができました。ここで読み込ませるペイロードに、AppleのImage I/Oでトリガーされる境界外書き込みを絡めると、画像等に仕込んだデータを足がかりにOS権限の任意コード実行まで到達する可能性が生まれます。ゼロクリックチェーンの性質上、受信側にとっては気づきにくく、痕跡も限定的です。
こうした手口は、国家レベルや監視ベンダに紐づく標的型攻撃で見られる振る舞いに近いといえます。
技術的な連鎖(なぜ危険が増幅したか)
WhatsApp側の不備で任意URLのコンテンツ処理が誘発され、端末が攻撃者管理のリソースにアクセスします。続いて、OS側のImage I/Oが細工された画像等を処理する際に境界外書き込みが発生し、メモリ破壊→任意コード実行へと進む可能性があります。前段が“配信”、後段が“実行”の役割を分担しており、組み合わせることでゼロクリック脆弱性となり悪用されると気づくことができません。
関連記事
サムスンのスマートフォンを狙ったWhatsApp関連ゼロデイ脆弱性、9月の月例アップデートで修正(CVE-2025-21043)
サムスンのスマホを狙う新たなスパイウェア-ゼロクリックで感染するサイバー攻撃 キャンペーン
I-SOON 中国政府へサイバー攻撃 ツールを提供していた企業から内部リーク
偽のハムスターコンバットでマルウェア配布を確認
Proofpointの設定が悪用され何百万通のフィッシングメールが送信される
Fortinet FortiWebの新ゼロデイ 脆弱性(CVE-2025-58034)、サイバー攻撃への悪用確認-Fortinetが緊急アップデートを公開
北朝鮮のIT労働者が日本企業で偽装就労か 実態とセキュリティリスクを解説
7-ZipにZIP解凍時のパストラバーサル 脆弱性(CVE-2025-11001,CVE-2025-11002)、今すぐアップデートを
Google、Chromeのゼロデイ 脆弱性「CVE-2025-6554」を緊急修正–ただちにアップデートを
