Appleが2026年に初めて悪用が確認されたゼロデイを修正
Original Title: Apple fixed first actively exploited zero-day in 2026
Published (UTC): 2026-02-12T01:50:10+00:00
要旨(日本語)
– AppleはCVE-2026-20700(dyldのメモリ破損)に対応するセキュリティ更新をiOS、iPadOS、macOS、watchOS、tvOS、visionOSへ公開
– 脆弱性は任意コード実行につながる可能性があり、Google Threat Analysis Groupが発見・報告
– 悪用は高度で標的を絞った攻撃で確認され、国家支援攻撃者やスパイウェア業者の関与が示唆
– 攻撃はiOS 26より前のバージョンの特定個人を狙って行われたとされ、メモリ書き込みの前提を悪用
– Appleは状態管理の改善でCVE-2026-20700を修正
– 対応デバイスはiPhone 11以降、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第8世代以降、iPad mini第5世代以降
– 提供バージョン: iOS/iPadOS 26.3、macOS Tahoe 26.3、tvOS 26.3、watchOS 26.3、visionOS 26.3
– 関連して2025年のゼロデイCVE-2025-14174(ChromeのANGLE/MetalのOOB)とCVE-2025-43529(WebKitのuse-after-free、いずれもCVSS 8.8)が同報告に基づき既に修正済み
– CVE-2025-43529は悪意あるWebコンテンツでコード実行に至る可能性があり、SafariやWebKitを用いるアプリ全般に影響
– 旧OS向けにもiOS/iPadOS 18.7.5、macOS Sequoia 15.7.4、macOS Sonoma 14.8.4、Safari 26.3の更新が提供
– 利用者は最新または提供中のセキュリティ更新を早急に適用することが推奨される