Source: https://thehackernews.com/2025/08/whatsapp-issues-emergency-update-for.html
🛡 概要
WhatsAppは、AppleのiOSおよびmacOS向けのメッセージングアプリにおいて、ゼロクリック攻撃に利用される可能性のあるセキュリティ脆弱性を修正する緊急アップデートを発表しました。この脆弱性は、CVE-2025-55177(CVSSスコア: 8.0)として認識されており、リンクデバイスの同期メッセージにおける不十分な認可に関連しています。WhatsAppのセキュリティチームによって発見されたこのバグは、特定のユーザーをターゲットにした高度な攻撃の一環として利用される可能性があります。
🔍 技術詳細
この脆弱性CVE-2025-55177は、悪意のあるURLからのコンテンツ処理を引き起こすことを許可する可能性があり、特にWhatsAppの特定のバージョンに影響を及ぼします。具体的には、iOS用WhatsAppのバージョン2.25.21.73以前、iOS用WhatsApp Businessのバージョン2.25.21.78、Mac用WhatsAppのバージョン2.25.21.78が該当します。また、CVE-2025-43300という別の脆弱性と連携して利用される可能性も指摘されています。CVE-2025-43300は、Appleが公表したもので、特定のターゲットに対する非常に洗練された攻撃で悪用されています。この脆弱性は、ImageIOフレームワークにおけるバッファオーバーフローの問題であり、悪意のある画像を処理する際にメモリの破損を引き起こす可能性があります。
⚠ 影響
WhatsAppのこの脆弱性は、特にジャーナリストや人権擁護者などの市民社会の個人に対して、政府のスパイウェアによる脅威を増大させる可能性があります。WhatsAppは、過去90日間に高度なスパイウェアキャンペーンの標的にされたと考えられる不特定の個人に通知を行っており、これによりユーザーのプライバシーとセキュリティが脅かされています。Donncha Ó Cearbhaill氏は、この脆弱性を利用した攻撃がiPhoneやAndroidユーザーに影響を与えていることを示唆しています。ゼロクリック攻撃により、ユーザーがリンクをクリックすることなくデバイスが侵害されるリスクが高まります。
🛠 対策
WhatsAppは、脆弱性の影響を受けるユーザーに対して、デバイスの工場出荷時設定へのリセットを推奨しています。また、オペレーティングシステムおよびWhatsAppアプリを常に最新の状態に保つことが最適な保護策であるとしています。ユーザーは、公式サイトから最新バージョンをダウンロードし、定期的にアップデートを行うことが重要です。このような対策を講じることで、潜在的な脅威から自身のデバイスを守ることができます。
