CVE-2025-14174 脆弱性：Apple WebKitの新しいメモリ破損ゼロデイ脆弱性が標的型攻撃において悪用される

ゼロデイ の脆弱性は依然として増大するリスクを引き起こし、攻撃者が未公開の弱点を防御策の修正前に武器化することを可能にしています。GladinetのTriofoxの重大なゼロデイが公開された後（CVE-2025-12480）、新しいゼロデイの脆弱性が既に実際に利用されており、防御側が対応するまでの狭い時間枠を強調しています。Appleは、新たに発見されたWebKitのゼロデイ脆弱性、CVE-2025-14174として知られるものとCVE-2025-43529が、非常に標的された攻撃で積極的に利用されていることを確認しました。CVE-2025-14174とCVE-2025-43529は、SafariやiOSおよびiPadOS上のすべてのブラウザを含む、ウェブコンテンツをレンダリングできるすべてのAppleデバイスに影響を与え、未パッチのシステムは侵害に対して露出されることになります。

WebKitは、macOS、iOS、Linux、Windows上のSafariや多数のアプリケーションの背後にあるクロスプラットフォームのブラウザエンジンであり、特にiOSとiPadOSのすべてのブラウザに必須であるため、攻撃者にとって価値の高い標的です。例えば、2025年初春には、 CVE-2025-24201 として追跡されているゼロデイの欠陥が発見され、悪意のあるウェブコンテンツによってWebコンテンツのサンドボックスを突破するために武器化されました。 

最新の修正により、Appleは2025年に実際に撮影された9つのゼロデイ脆弱性に対処しました。これは、攻撃者がブラウザエンジンとレンダリングパイプラインに多大な投資をして、サンドボックスを回避し、重要な標的を静かに侵害する傾向があることを反映しています。 

登録する SOC PrimeのAIネイティブ検出インテリジェンス プラットフォームで、最先端の技術とトップサイバーセキュリティ専門知識に支えられたSOCチームが、サイバー脅威をアウトスケールし、回復力のあるサイバーセキュリティ態勢を構築します。クリックしてください 検出を探索 して、脆弱性エクスプロイト検出のためのSOCコンテンツの包括的なコレクションにアクセスし、カスタム「CVE」タグでフィルタリングします。

検出を探索

専用のルールセットからの検出は、40以上のSIEM、EDR、データレイクプラットフォームで適用でき、最新の MITRE ATT&CK® フレームワーク v18.1 にマッピングされています。セキュリティチームはまた Uncoder AI を活用して、ライブ脅威レポートから直接ルールを生成し、検出ロジックを洗練し、バリデートし、攻撃フローを自動的に可視化し、IOCをカスタムハンティングクエリに変換し、多様な言語形式で検出コードを即座に翻訳することによって、検出エンジニアリングをエンドツーエンドで加速できます。

CVE-2025-14174 分析

12月12日に、 Appleは、2つのWebKitゼロデイ脆弱性が実際に撮影されていることを確認した後、エコシステム全体で緊急のセキュリティパッチを発行しました。武器化されたセキュリティの問題は、WebKitでの使用後解放の脆弱性であるCVE-2025-43529であり、攻撃者が任意のコード実行を達成する可能性があり、そして CVE-2025-14174 （CVSSは8.8）、悪意のあるウェブページを処理する際にメモリ破損が発生する可能性のあるWebKitゼロデイです。両方の欠陥は、特別に作成されたウェブコンテンツを通じて利用される可能性があり、悪意のあるページを訪れること以外のアプリインストールやユーザーの操作を必要としません。

Appleは、iOS 26以前のバージョンを使用している特定の標的された個人に対する極めて高度な攻撃で欠陥が利用された可能性があることを認識していると確認しました。

特に、CVE-2025-14174は 同じ脆弱性であり、 Googleが2025年12月10日にChromeでパッチを適用しました。Googleは、めったに使われないメモリアクセスの問題と述べており、そのオープンソースグラフィックスライブラリであるANGLEのMetalレンダラー内で特に問題があると説明しています。ANGLEがプラットフォーム間で共有されているため、これは孤立したバグではなく、クロスブラウザーのエクスプロイトを示しています。

これらの脆弱性は、AppleのセキュリティエンジニアリングおよびアーキテクチャとGoogleの脅威分析グループの協力によって特定されました。どちらの欠陥もWebKitに影響を与えることから、非常に標的を絞った監視キャンペーンのために武器化されたことが強く示唆されています。iPhone 11以降、サポートされているiPad、Apple Watch Series 6+、Apple TV、Vision Proなど、WebKitコンテンツをレンダリングできるデバイスがスコープ内でした。 

Appleは、iOSおよびiPadOS（26.2および18.7.3）、macOS Tahoe 26.2、tvOS 26.2、watchOS 26.2、visionOS 26.2、およびmacOS SonomaおよびSequoia向けSafari 26.2を含むエコシステム全体で修正をリリースしました。

CVE-2025-43529およびCVE-2025-14174の潜在的な緩和策として、組織はすべてのAppleデバイスに即座にOSおよびブラウザーの更新を強制し、パッチの延期を防ぐためにMDMコンプライアンスを確認し、アップデートの適用の遅延を実際のセキュリティ露出として扱うべきです。防御者は、現代のウェブベースのエクスプロイトがアプリレベルの制御を回避できると仮定し、更新後に異常なブラウザーまたはネットワークの動作を積極的に監視し、ハイリスクユーザーのためには、パッチの遅延が直接的に攻撃面を拡張すると認識すべきです。

WebKitのゼロデイは重要な現実を際立たせています：今日最も危険な攻撃はブラウザから始まることが多い。隠密な利用、ユーザーの操作なし、そしてデバイスを完全に乗っ取る可能性のあるこれらの脆弱性は特に危険で、防御者から迅速で決定的な行動を要求します。に頼り、 SOC Primeプラットフォーム ​​世界最大の検出インテリジェンスデータセットを獲得し、検出からシミュレーションまでのエンドツーエンドパイプラインを採用し、セキュリティオペレーションを合理化し、応答ワークフローを加速し、エンジニアリングのオーバーヘッドを削減し、常に新たな脅威を先取りします。