Source: https://www.securityweek.com/whatsapp-zero-day-exploited-in-attacks-targeting-apple-users/
🛡 概要
WhatsAppは、Appleユーザーを狙った高度に標的化された攻撃に悪用されたゼロデイ脆弱性の詳細を発表しました。この脆弱性はCVE-2025-55177として追跡されており、CVSSスコアは8.0です。問題は「リンクされたデバイスの同期メッセージの不完全な承認」として説明されています。攻撃者はこの問題を悪用し、被害者のデバイス上で任意のURLからのコンテンツを処理させることができたとWhatsAppは述べています。
🔍 技術詳細
この脆弱性CVE-2025-55177は、WhatsAppのiOS版で2023年7月と8月にパッチが適用されました。また、AppleのOSレベルの脆弱性CVE-2025-43300も関連しており、これはImageIOフレームワークに影響を与える境界外書き込みの問題です。Appleはこの脆弱性をiOS 18.6.2およびmacOSの各バージョンで修正しましたが、具体的な技術情報は提供していません。Appleは、この問題が特定のターゲットに対して非常に巧妙な攻撃に悪用された可能性があることを認識しています。
⚠ 影響
このセキュリティの欠陥は、WhatsAppを使用するiPhoneやAndroidユーザーに影響を及ぼしています。特に、ジャーナリストや人権擁護者などの市民社会の個人がターゲットにされている可能性があります。攻撃者は、Appleのコアイメージライブラリに影響を与える脆弱性を利用して、他のアプリケーションにも攻撃を仕掛けることができると考えられています。WhatsAppは、潜在的な標的となる約200人に通知を送信しました。
🛠 対策
WhatsAppは、ゼロデイ脆弱性を修正するためのパッチを提供するとともに、影響を受ける可能性のある個人に通知を行いました。ユーザーは、最新のバージョンにアップデートすることが重要です。また、Appleもセキュリティアップデートを行い、ユーザーに最新のOSを利用することを推奨しています。このような攻撃が発生する中、ユーザーは不審なリンクをクリックしない、セキュリティソフトを利用するなどの基本的な対策を講じることが求められます。
