CVE-2025-43529 の詳細
CVEの情報
説明:
A use-after-free issue was addressed with improved memory management. This issue is fixed in watchOS 26.2, Safari 26.2, iOS 18.7.3 and iPadOS 18.7.3, iOS 26.2 and iPadOS 26.2, macOS Tahoe 26.2, visionOS 26.2, tvOS 26.2. Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been exploited in an extremely sophisticated attack against specific targeted individuals on versions of iOS before iOS 26. CVE-2025-14174 was also issued in response to this report.
CVE更新日: 2025-12-17 21:16:11.570000
CVSSバージョン: 3.1
CVSSスコア: 8.8
KEVの情報
KEV更新日: 2025-12-15
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.085850000
EPSS更新日: 2026-07-19 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2025-43529について、以下の観点で解説します。
1. 脆弱性の概要
CVE-2025-43529は、AppleのWebKitレンダリングエンジンに存在する解放済みメモリ使用(Use-After-Free)の脆弱性です。不適切なメモリ管理に起因し、悪意を持って作成されたWebコンテンツを処理することでトリガーされる可能性があります。
この脆弱性は、すでに「特定の標的となった個人に対する極めて巧妙な攻撃」で積極的に悪用されたことが確認されています。
1.1 影響
この脆弱性が悪用されると、攻撃者は脆弱なデバイス上で任意のコード実行を達成する可能性があります。 任意コード実行は、スパイウェアなどの高度なマルウェアをインストールするためにも利用されることがあります。
1.2 深刻度
CVE-2025-43529は、深刻度が「重大(Critical)」または「極めて高いリスク(Extremely High Risk)」と評価されています。 CVSS v3.1スコアは10点中9.8とされています。 また、CVSS v3.0の基本スコアは8.8(High)です。 米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、この脆弱性を「既知の悪用されている脆弱性(Known Exploited Vulnerabilities: KEV)カタログ」に追加しており、活発な悪用が確認されていることを示しています。 Red Hatは、この脆弱性を「重要(IMPORTANT)」と評価しています。
2. 対象となる環境
この脆弱性は、AppleのWebKitレンダリングエンジンを使用する複数のApple製品およびオペレーティングシステムに影響を与えます。 WebKitは、SafariやiOS/iPadOS上のすべてのサードパーティ製ブラウザで使用されています。
2.1 影響を受けるOSバージョン
以下のバージョンより前のApple製品が影響を受けます。
影響を受けるデバイスには、iPhone 11以降、iPad Pro 12.9インチ(第3世代以降)、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第8世代以降)、iPad mini(第5世代以降)が含まれます。
2.2 影響を受ける設定
この脆弱性は、影響を受けるバージョンのWebKitレンダリングエンジンが、悪意を持って細工されたWebコンテンツを処理する際に発生します。 ユーザーが悪意のあるWebサイトにアクセスするなどの操作が必要です。 特定の「設定」による影響ではなく、脆弱なソフトウェアバージョンを使用していることが問題となります。
3. 影響を受けた時の兆候
具体的なシステムログや直接的な兆候は明記されていません。ただし、この脆弱性は「特定の標的とされた個人に対する極めて巧妙な攻撃」で悪用されており、成功すると任意のコード実行が可能となり、高度なスパイウェアがインストールされる可能性があります。 したがって、身に覚えのないシステムの挙動、パフォーマンスの低下、不審なネットワーク通信、またはスパイウェアの存在を示す兆候が間接的な影響を受けた時の兆候となりえます。
4. 推奨対策
4.1 本対策
すべてのAppleデバイスを、本脆弱性に対処した最新のパッチ適用済みのバージョンに即座にアップデートすることが強く推奨されます。 脆弱性はメモリ管理の改善によって修正されました。
具体的な修正バージョンは以下の通りです。
4.2 暫定回避策(緩和策)
JavaScriptCoreUseJIT=0を設定します。ただし、これはJavaScriptを多用するWebコンテンツのパフォーマンスに影響を与える可能性があります。参照したサイト