iOS & iPadOS 18.4.1では、AppleはCVE-2025-31200というCoreAudioのセキュリティ脆弱性パッチを公開しました。この脆弱性により、悪意のあるファイルの処理を担うユーザー空間プロセスにおいて、任意のコード実行が可能になる可能性がありました。Appleは、この脆弱性が特定の個人を標的として悪用された可能性がある事例を認識しており、境界チェック機能を改善したパッチを公開しました。
しかし興味深いことに、 Noahhw46、zhuowei、defiling9046を含むセキュリティ研究者グループが、CVE-2025-31200の概念実証をGitHubで公開し、影響を受けるデバイスに対して「制御された、しかし任意ではない書き込み」を実行できたと述べています。詳細な解説は近日公開予定とのことですが、公開時期はまだ未定です。
任意書き込み脆弱性は、デバイス上でのハッキングを可能にするエクスプロイトとして悪用されることが多く、最近ではMisakaやPureKFDといったユーティリティでその例が見られました。この点を踏まえると、この概念実証のさらなる開発によって、iOSとiPadOSのさらに新しいバージョンでも同様のツールが利用可能になるかどうかは興味深いところです。
多くの皆さんが抱いている切実な疑問は、これが脱獄開発に役立つかどうかです。少なくともDopamine脱獄のリード開発者であるLars Fröder氏(@opa334dev)の意見では、役立つことはないでしょう。すべての脆弱性が脱獄に利用できるエクスプロイトになるわけではありませんし、さらに重要なのは、たとえ脱獄に使える脆弱性が存在したとしても、Appleの最新デバイスのセキュリティメカニズムをバイパスするために必要な手段すら存在しないということです。
これらのバグの一部は、悪意のある人物(さらには一部の政府機関)によるスパイウェア攻撃によく利用されていますが、スパイウェアは必ずしもジェイルブレイクほど多くのセキュリティメカニズムを回避する必要はないとFröder氏は説明しています。つまり、誰かをスパイする方が、楽しみのためにジェイルブレイクの改造をインストールするよりも文字通り簡単なのです。これは実に残念なことです。
CVE-2025-31200が今後何か特別なことを可能にするかどうかは興味深いところですが、さらに重要なのは、脱獄可能なエクスプロイトとそれに必要なバイパスが近いうちにリリースされるかどうかです。iDBチームは、今日のiPhoneハッキング環境の変化を継続的に監視し、興味深い情報が得られ次第、読者の皆様にお知らせします。
![MacX Video Converter Pro で 4K ビデオを完璧に圧縮・変換 + ライセンスプレゼント [スポンサー]](https://image.milawo.com/kabmbfjj/05/98/vcp.webp)
