Apple、2025年1件目のゼロデイを修正 攻撃で悪用されている恐れ:CVE-2025-24085 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Apple、2025年1件目のゼロデイを修正 攻撃で悪用されている恐れ:CVE-2025-24085

Threat Report

AI

Silobreaker-CyberAlert

脆弱性

Apple、2025年1件目のゼロデイを修正 攻撃で悪用されている恐れ:CVE-2025-24085

佐々山 Tacos

佐々山 Tacos

2025.01.28

1月28日:サイバーセキュリティ関連ニュース

Apple、2025年1件目のゼロデイを修正 攻撃で悪用されている恐れ:CVE-2025-24085

SecurityAffairs – January 27, 2025

Appleがセキュリティアップデートをリリースし、iPhoneユーザーを狙った攻撃で悪用されている恐れのあるゼロデイ脆弱性CVE-2025-24085に対処。同社がゼロデイを修正するのは、これが今年1件目となる。

CVE-2025-24085は、 Core Mediaフレームワークに影響を与える権限昇格の脆弱性。使用済みメモリ開封の問題に起因するもので、「悪意あるアプリケーションによる権限の昇格が可能な場合がある」と説明されている。また、公式アドバイザリには、「Appleは、この問題がiOS 17.2より前のiOSバージョンに対する攻撃で悪用されている恐れがあるとの報告を認識しています」との記載がある。ただ、攻撃の詳細については共有されていない。

このゼロデイはiOSのほか、iPadOSやmacOSなどの一部バージョンにも影響を与えるもので、以下のリリースで修正されている。

  • iOS 18.3
  • iPadOS 18.3
  • macOS Sequoia 15.3
  • watchOS 11.3
  • visionOS 2.3
  • tvOS 18.3

DeepSeek、サイバー攻撃により新規アカウントの登録を制限

The Register – Mon 27 Jan 2025

中国のAIスタートアップDeepSeekが、「大規模な悪意ある攻撃」と説明されるインシデントの影響により、Webインターフェースへの新規サインアップを制限する旨を発表。既存ユーザーのログインは通常通りに可能だという。同社のステータスページには、インシデントの調査は27日22:33(日本時間)より開始され、28日午前1:06の時点で調査が継続中であることが記されている。

DeepSeekは最近、「V3」や「R1」モデルの発表によりAI業界に衝撃を与えた中国企業。iOS向けアプリ(DeepSeek – AI Assistant)に関しては、AppleのApp Store(米国版)の無料ダウンロードランキングでOpenAIのChatGPTを抜いて1位になるなど、急成長を遂げている中でのサイバー攻撃被害となった。

その後、日本時間で28日の午前3:25までには、少なくともGoogleアカウントを使ったサインアップは可能になったものとみられる。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ