Safari/WebKitにゼロデイ攻撃、iPhone、iPad、Mac、Apple Watchなど幅広い製品に影響

Apple、セキュリティ更新を実施

　米Appleは12月12日（現地時間）、セキュリティアップデートを実施した。「iOS 26.2」「iPadOS 26.2」のほかにも、多くの製品が対象となっている（括弧内はCVE番号が割り振られた脆弱性の件数）。

• iOS 26.2 and iPadOS 26.2（26件）※
• iOS 18.7.3 and iPadOS 18.7.3（21件）※
• macOS Tahoe 26.2（48件）※
• macOS Sequoia 15.7.3（27件）
• macOS Sonoma 14.8.3（22件）
• tvOS 26.2（10件）※
• watchOS 26.2（17件）※
• visionOS 26.2（20件）※
• Safari 26.2（11件）※

　内容はアプリが決済トークンにアクセスできてしまう問題、メモリ破損、「FaceTime」発信者の偽装、パスワード欄の開示、予期せぬアプリ終了、アプリによるルート権限の奪取、プライバシーデータ・機密データの漏洩など。

　なかでも「Safari」のHTMLレンダリングエンジン「WebKit」で発見された2件の脆弱性（CVE-2025-14174、CVE-2025-43529）は、「iOS 26」以前のバージョンで特定の標的を絞った極めて高度な攻撃で悪用された可能性があるとの報告が寄せられており、警戒を要する。

• CVE-2025-14174：「WebKit」におけるメモリ破壊
• CVE-2025-43529：「WebKit」の解放後メモリ利用（use-after-free issue）。悪意をもって作成されたWebコンテンツを処理すると、任意のコードが実行される

　これらの脆弱性の修正が実施されたのは、「iOS 26」「iPadOS 26」、「iOS 18」「iPadOS 18」、「macOS Tahoe 26」、「tvOS 26」、「watchOS 26」、「visionOS 26」、「Safari 26」（上記リストで「※」の付いた製品）。「macOS Sequoia 15」と「macOS Sonoma 14」でも「Safari」のアップデートが必要だ。