セキュリティ

SECURITY

公開：2025-04-10

【CVE-2025-24192】Appleが主要製品のスクリプト脆弱性を修正、Safari18.4などで機密データ漏洩対策を実施

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• 複数のApple製品に新たなスクリプト関連の脆弱性
• Safari 18.4など主要OS・ブラウザに修正版を提供
• Webサイト閲覧時の機密データ漏洩リスクに対処

【CVE-2025-24192】Appleの主要製品でスクリプト関連の脆弱性を修正

Appleは2025年3月31日、Safari 18.4、visionOS 2.4、iOS 18.4およびiPadOS 18.4、macOS Sequoia 15.4において、スクリプトのインポートに関する脆弱性の修正を実施した。この脆弱性はWebサイト閲覧時に機密データが漏洩する可能性があり、改善された分離機能によって対処されている。^[1]

この脆弱性はCVE-2025-24192として特定され、CVSSスコアは6.5（深刻度：中）と評価されている。攻撃には特別な権限は不要だがユーザーの操作が必要とされ、影響範囲は機密性の侵害に限定されることが明らかになった。

また、SSVCの評価によると、この脆弱性は自動化された攻撃は不可能であり、技術的な影響は部分的とされている。修正パッチの適用により、該当するすべてのApple製品において本脆弱性による影響を防ぐことが可能となった。

影響を受けるApple製品とバージョン情報まとめ

スクリプトのインポートの脆弱性について

スクリプトのインポートの脆弱性とは、Webブラウザやアプリケーションにおいて、外部から読み込まれるスクリプトの処理が適切に制限されていない状態を指す。主な特徴として、以下のような点が挙げられる。

• 外部スクリプトの実行権限が適切に制限されていない
• スクリプト間の分離が不十分で情報漏洩のリスクがある
• 悪意のあるスクリプトが実行される可能性がある

CVE-2025-24192における脆弱性は、Webサイト閲覧時にスクリプトの分離が不十分であることが原因で発生した。Apple製品のユーザーは、最新バージョンにアップデートすることで改善された分離機能により、この脆弱性から保護されることになる。

Appleの脆弱性対応に関する考察

Appleの今回の対応は、複数の主要製品に対して同時に修正パッチを提供することで、包括的なセキュリティ対策を実現している点が評価できる。特にvisionOSのような新しいプラットフォームも含めた統一的な対応は、エコシステム全体のセキュリティ向上に寄与するものだ。

今後の課題として、新しい開発プラットフォームやフレームワークの導入に伴い、スクリプト実行環境の安全性確保がより複雑化する可能性がある。特にクロスプラットフォーム開発が進む中、各プラットフォーム固有のセキュリティ要件と共通の脆弱性対策の両立が重要になるだろう。

将来的には、機械学習やAIを活用した脆弱性の早期検出システムの導入や、開発者向けのセキュリティガイドラインの強化が期待される。また、サードパーティ製アプリケーションとの連携におけるセキュリティ基準の明確化も重要な課題となっていくはずだ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-24192, (参照 25-04-10).
1442
2. Apple. https://www.apple.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧