Trusted DesignCVE-2026-20700 の詳細
CVEの情報
説明:
A memory corruption issue was addressed with improved state management. This issue is fixed in watchOS 26.3, tvOS 26.3, macOS Tahoe 26.3, visionOS 26.3, iOS 26.3 and iPadOS 26.3. An attacker with memory write capability may be able to execute arbitrary code. Apple is aware of a report that this issue may have been exploited in an extremely sophisticated attack against specific targeted individuals on versions of iOS before iOS 26. CVE-2025-14174 and CVE-2025-43529 were also issued in response to this report.
CVE更新日: 2026-02-11 23:16:10.670000
CVSSバージョン: 3.1
CVSSスコア: 7.8
KEVの情報
KEV更新日: 2026-02-12
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.004240000
EPSS更新日: 2026-03-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2026-20700 は Apple の dyld(Dynamic Link Editor)に存在するメモリ破損脆弱性。攻撃者がメモリ書き込み能力を持つ場合、任意コード実行が可能。Apple は特定個人を狙った高度な攻撃で悪用された可能性を認めている。 【1. 脆弱性の概要】 - dyld の状態管理不備によりメモリ破損が発生。 - 攻撃者は任意コード実行(RCE)が可能。 - 悪用は Google TAG により報告され、Apple は悪用の可能性を認めている。 - dyld はアプリ起動時に必ず呼ばれるため、攻撃が成立すると OS 全体の信頼境界が崩壊する。 【2. 深刻度】 - CVSS 4.0:未評価(NVD) - CVSS 3.x:未提供 ただし、任意コード実行かつ悪用確認済みのため、実質的には Critical 相当。 【3. 影響範囲】 - iOS / iPadOS 26.3 - macOS Tahoe 26.3 - tvOS 26.3 - watchOS 26.3 - visionOS 26.3 - Safari 26.3 【4. 兆候】 - 公開 IOC はなし - iOS 26 未満で高度な標的型攻撃が確認された可能性 【5. 推奨対策】 - すべての Apple デバイスを 26.3 へ更新 - 公式ワークアラウンドなし - MDM によるバージョン準拠の強制