-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2025年12月12〜15日:サイバーセキュリティ関連ニュース
Appleがゼロデイ2件を修正、「極めて巧妙な攻撃」で悪用された恐れ:CVE-2025-43529、CVE-2025-14174
The Hacker News – Dec 13, 2025
Appleは12月12日、iOS、iPadOS、macOS、tvOS、watchOS、visionOS、およびWebブラウザSafariに関するセキュリティアップデートをリリースし、攻撃での悪用が報告されている脆弱性CVE-2025-43529およびCVE-2025-14174に対処。後者は、10日にGoogleがChromeにおいて修正したゼロデイと同一のものだという。
1件目のCVE-2025-43529はWebKitにおける解放済みメモリ使用の脆弱性で、悪意を持って細工されたWebコンテンツを処理する際に任意コードの実行を招く恐れがあるというもの。発見者・報告者としてはGoogleの脅威分析グループ(TAG)がクレジットされている。
2件目のCVE-2025-14174はWebKitにおけるメモリ破損の脆弱性で、同様に悪意を持って細工されたWebコンテンツを処理する際に任意コードの実行を招く恐れがあると説明されている。この脆弱性は2025年12月10日にGoogleがリリースしたChrome向けのパッチで修正されたのと同じもので、同社はアドバイザリにおいてANGLEライブラリにおける境界外メモリアクセスの脆弱性と説明。10日の時点で、それ以前からゼロデイとして悪用されていたことが報告されていた。発見者・報告者としてはAppleのSEAR(Security Engineering and Architecture)チームとGoogle TAGがクレジットされている。
AppleはCVE-2025-43529とCVE-2025-14174について、「iOS 26より前のバージョンのiOSを使用する、特別に標的とされた個人」への「極めて巧妙な攻撃」で悪用された可能性があるとの報告がある旨を伝えた。攻撃に関するそれ以上の詳細は明かされていないものの、発見者・報告者がGoogle TAGであることや影響を受けるのがWebKitであることから、傭兵スパイウェアを用いた標的型攻撃で悪用された可能性が示唆されているという。
両脆弱性は以下のバージョンで修正されている。
- iOS 26.2、iPadOS 26.2
- iOS 18.7.3、iPadOS 18.7.3
- macOS Tahoe 26.2
- tvOS 26.2
- watchOS 26.2
- visionOS 26.2
- Safari 26.2
なお今回のアップデートにより、2025年を通じてAppleが修正した悪用が報告されたゼロデイ脆弱性の件数は9件となった。上記以外のゼロデイには、 CVE-2025-24085、 CVE-2025-24200、CVE-2025-24201、CVE-2025-31200、CVE-2025-31201、CVE-2025-43200、CVE-2025-43300がある。
Reactの新たな脆弱性によりDoSやソースコードの漏洩が可能になる恐れ(CVE-2025-55184、CVE-2025-67779、CVE-2025-55183)
The Register – Fri 12 Dec 2025
React Server Components(RSC)における新たな脆弱性が数件見つかり、RSCやこれをサポートするフレームワークの利用者には迅速なパッチ適用が推奨されている。
今回新たに発見・修正されたのは、以下の脆弱性。
- CVE-2025-55184、CVE-2025-67779(CVSS 7.5):サービス拒否(DoS)の脆弱性。特別に細工されたHTTPリクエストを任意のサーバー関数エンドポイントに送付することにより悪用可能とされている。悪用が成功した場合、攻撃者はユーザーが製品にアクセスするのを妨害できるようになり、サーバー環境におけるパフォーマンス上の影響を生じさせられるようになる可能性がある。
- CVE-2025-55183(CVSS 5.3):ソースコード漏洩の脆弱性。脆弱なサーバー関数へ送られた悪意あるHTTPリクエストにより、サーバー関数のソースコードが安全でない形で返される恐れがあるというもので、引数を文字列に変換して外部へ返してしまうようなサーバー関数の存在が前提となっている。
これらの脆弱性は、React2Shellと呼ばれる重大なリモートコード実行の脆弱性CVE-2025-55182と同様のパッケージ・バージョンに存在しており、先にリリースされたReact2Shellへのパッチを含むバージョンはまだ上記3件に対して脆弱なままだという。このため、先々週にアップデートを行ったユーザーは、最新のアップデートを再度実施する必要があるとされる。12月11日のアラートには、「19.0.2、19.1.3、19.2.2へアップデートした場合、これらは不完全であるため再度のアップデートが必要です」と記された。
なお、React2Shelは現在までに50以上の組織に影響を及ぼしたとされており、北朝鮮や中国のグループが同脆弱性を悪用している可能性が報じられている。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)
