セキュリティ

SECURITY

公開：2025-01-29

AppleがiPadOS 17.7.4をリリース、AirPlayやCoreAudioの重要な脆弱性に対処し、セキュリティ機能を強化

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AppleがiPadOS 17.7.4のセキュリティアップデートを2025年1月27日にリリース
• AirPlay、ARKit、CoreAudioなど複数の重要な脆弱性に対処
• 対象機種はiPad Pro 12.9インチ第2世代、iPad Pro 10.5インチ、iPad第6世代

iPadOS 17.7.4のセキュリティアップデート内容

Appleは2025年1月27日、iPad Pro 12.9インチ第2世代、iPad Pro 10.5インチ、iPad第6世代向けにiPadOS 17.7.4をリリースした。本アップデートではAirPlayにおいて遠隔から任意のコード実行が可能となる深刻な脆弱性CVE-2025-24137が修正されている。^[1]

CoreAudioでは複数のファイル解析に関する脆弱性が発見され、Google Threat Analysis Groupによって報告されたCVE-2025-24161、CVE-2025-24160、CVE-2025-24163の修正が実施された。これらの脆弱性は不正なファイルを解析した際にアプリケーションが予期せず終了する可能性があるものだ。

また、Kernelにおいてアプリケーションがカーネル権限で任意のコードを実行できる脆弱性CVE-2025-24159が修正された。加えてCoreRoutineでは位置情報に関する脆弱性CVE-2025-24102が、ImageIOではサービス拒否攻撃につながる脆弱性CVE-2025-24086が対処された。

iPadOS 17.7.4の脆弱性修正まとめ

カーネル権限について

カーネル権限とは、オペレーティングシステムの中核であるカーネルが持つ最高レベルの実行権限のことを指す。主な特徴として、以下のような点が挙げられる。

• システム全体のリソースやハードウェアへの完全なアクセス権を持つ
• 他のプロセスの実行や終了を制御できる
• メモリ管理やデバイスドライバの制御が可能

今回のiPadOS 17.7.4アップデートでは、アプリケーションが不正にカーネル権限を取得できる脆弱性が修正された。カーネル権限が悪用された場合、デバイス全体が攻撃者の制御下に置かれる可能性があり、個人情報の漏洩やシステムの破壊などの深刻な被害につながる危険性がある。

iPadOS 17.7.4のセキュリティアップデートに関する考察

今回のアップデートで特筆すべき点は、AirPlayやCoreAudioなど、メディア処理に関連するコンポーネントの脆弱性が複数修正されたことである。特にGoogle Threat Analysis Groupによって報告された複数の脆弱性は、標的型攻撃に利用される可能性が高く、迅速な対応が必要とされる重要な問題だった。

位置情報やカーネル権限に関する脆弱性の修正は、プライバシーとセキュリティの両面で重要な意味を持つ。これらの脆弱性は悪用された場合、ユーザーのプライバシー侵害やデバイスの完全な制御権限の奪取につながる可能性があり、修正の優先度が高かったと考えられる。

今後は、メディア処理エンジンのセキュリティ強化が重要な課題となるだろう。特にAirPlayやCoreAudioのような広く使用される機能については、入力値の検証やメモリ管理の改善など、より包括的なセキュリティ対策が必要となる。

参考サイト

1. ^ Apple. 「About the security content of iPadOS 17.7.4 - Apple Support」. https://support.apple.com/en-us/122067, (参照 25-01-29).
2. Apple. https://www.apple.com/jp/
3. Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧