セキュリティ

SECURITY

公開：2025-02-01

【CVE-2025-24085】AppleがvisionOSやiOSなど主要OSの特権昇格の脆弱性に対処、セキュリティアップデートを緊急公開

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Appleが複数のOSで重大な脆弱性に対処するアップデートを公開
• visionOS 2.3やiOS 18.3など主要OS向けのセキュリティ更新を実施
• iOS 17.2以前のバージョンで積極的な悪用の可能性を確認

AppleのvisionOSやiOS向け重要セキュリティアップデートの公開

Appleは2025年1月27日、visionOS、iOS、iPadOS、macOS、watchOS、tvOSに対する重要なセキュリティアップデートを公開した。このアップデートは特権昇格の脆弱性【CVE-2025-24085】に対処するもので、メモリ管理の改善によってuse after free問題が解決されている。Apple社は、iOS 17.2より前のバージョンに対して積極的な悪用の報告を認識しているとのことだ。^[1]

このセキュリティアップデートによって、visionOS 2.3、iOS 18.3およびiPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3、tvOS 18.3の各バージョンで脆弱性が修正された。攻撃者は悪意のあるアプリケーションを通じて特権を昇格させる可能性があり、早急な対応が推奨されている。

CISAによる評価では、この脆弱性の深刻度は「HIGH」とされ、CVSSスコアは7.3を記録している。攻撃の条件として、ローカルアクセスと限定的な権限が必要とされ、ユーザーの操作を介して攻撃が成功する可能性が指摘されている。

Appleの主要OSにおけるセキュリティアップデートの詳細

use after freeについて

use after freeとは、メモリ管理における深刻な脆弱性の一種で、解放済みのメモリ領域に対して不正なアクセスが行われる問題のことを指している。主な特徴として、以下のような点が挙げられる。

• 解放済みメモリへの不正アクセスによる制御フローの乱用
• 特権昇格やシステムクラッシュなどの重大な影響
• メモリ管理の不備に起因する典型的なセキュリティ問題

今回のApple製品における脆弱性では、use after free問題によって悪意のあるアプリケーションが特権昇格を引き起こす可能性があることが指摘されている。また、iOS 17.2より前のバージョンでは実際に悪用された可能性があり、メモリ管理の改善による対策が講じられている。

AppleのOSセキュリティアップデートに関する考察

今回のセキュリティアップデートは、Appleの主要なOSプラットフォーム全体に及ぶ包括的な対応という点で評価できる。特にiOS 17.2以前のバージョンでの積極的な悪用報告を認識した上での迅速な対応は、ユーザーの安全性確保という観点から重要な取り組みといえるだろう。

しかし、複数のOSプラットフォームに同様の脆弱性が存在していたことは、共通のコードベースにおける潜在的なリスクを示唆している。今後は開発段階でのセキュリティレビューをより強化し、プラットフォーム間で共有されるコンポーネントの品質管理を徹底することが求められるだろう。

Appleのエコシステムが拡大し続ける中、visionOSなど新しいプラットフォームの追加によってセキュリティ管理の複雑性は増している。継続的なセキュリティ監査と迅速なアップデート提供体制の維持が、今後ますます重要になってくるはずだ。

参考サイト

1. ^ CVE. 「CVE-2025-24085 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-24085, (参照 25-02-01).
2. Apple. https://www.apple.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧