Trusted DesignCVE-2025-31277 の詳細
CVEの情報
説明:
The issue was addressed with improved memory handling. This issue is fixed in Safari 18.6, watchOS 11.6, visionOS 2.6, iOS 18.6 and iPadOS 18.6, macOS Sequoia 15.6, tvOS 18.6. Processing maliciously crafted web content may lead to memory corruption.
CVE更新日: 2025-07-30 00:15:30.830000
CVSSバージョン: 3.1
CVSSスコア: 8.8
KEVの情報
KEV更新日: 2026-03-20
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.001760000
EPSS更新日: 2026-04-18 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2025-31277について、以下の観点で解説します。
1. 脆弱性の概要
悪意を持って作成されたWebコンテンツを処理することにより、メモリ破損が発生する可能性のあるバッファオーバーフローの脆弱性です。この脆弱性は、WebKitに存在します。
1.1 影響
この脆弱性が悪用されると、悪意を持って作成されたWebコンテンツを処理した際にSafariが予期せずクラッシュする可能性があります。また、メモリ破損が発生し、情報の取得、情報の改ざん、およびサービス運用妨害(DoS)状態に陥る可能性があります。 「DarkSword」と呼ばれる攻撃コードの初期段階では、WebContentプロセスにおけるJIT関連の脆弱性を悪用し、任意のメモリ読み書き操作を可能にすることが言及されています。
1.2 深刻度
深刻度は「High」と評価されており、CVSSスコアは8.8です。 CISAのKnown Exploited Vulnerabilities (KEV) カタログにも追加されており、活発な悪用が確認されています。
2. 対象となる環境
2.1 影響を受けるOSバージョン
この脆弱性は、Apple製品の複数のOSバージョンに影響を与えます。具体的には、以下のバージョンより前の製品が影響を受けます。
また、DarkSword攻撃ではiOS 18.4〜18.7のバージョンが標的とされたと報告されています。
2.2 影響を受ける設定
WebKitコンポーネントが影響を受けます。悪意を持って作成されたWebコンテンツを処理することが脆弱性トリガーとなります。
3. 影響を受けた時の兆候
4. 推奨対策
4.1 本対策
この問題は、メモリ処理の改善によって対処されました。以下のバージョンにアップデートすることで修正されます。
ベンダーの指示に従って緩和策を適用することが推奨されます。
4.2 暫定回避策(緩和策)
検索結果には、本対策(アップデート)以外の特定の暫定回避策(緩和策)に関する記述はありません。
他に解説すべき観点
参照したサイト