2025. augusztus 20-án az Apple kiadta az iOS 18.6.2 és iPadOS 18.6.2 sürgős biztonsági frissítéseit, amely, amely egy kritikus nulladik napi (zero-day) sérülékenységet javít az ImageIO komponensben. A sérülékenységet – amelyet a CVE-2025-43300 azonosító alatt tartanak nyilván, a vállalat megerősítése szerint aktívan kihasználják valós támadások során, célzott egyéneket érintve.
A sérülékenység részletei
- CVE azonosító: CVE-2025-43300
- Súlyosság: Kritikus
- Érintett komponens: ImageIO
- Sérülékenység típusa: Out-of-bounds write
- Érintett rendszerek: iOS 18.6.2, iPadOS 18.6.2
A hiba egy memóriakezelési problémából fakad: az Apple ImageIO keretrendszere nem megfelelően korlátozza a képfeldolgozás során használt memóriaterületeket, így lehetőség nyílik túlcsordulásos (out-of-bounds) írásra, amely memóriakorrupcióhoz vezethet. Egy kártékonyan manipulált képfájl elegendő ahhoz, hogy a támadó tetszőleges kódot futtasson az érintett eszközön.
Ez különösen veszélyes, mivel a képfeldolgozás a mindennapokban gyakran automatikusan történik – például weboldalak böngészésekor, üzenetek fogadásakor vagy fényképek megtekintésekor –, így a felhasználói interakció minimális vagy egyáltalán nem szükséges a fertőzéshez.
Célzott támadások és a kockázat mértéke
Az Apple biztonsági közleménye szerint a sebezhetőséget „extrém módon kifinomult támadások” során használták ki. Ez a megfogalmazás arra utal, hogy magas szintű fenyegetési szereplők – például állami támogatású kiberkémhálózatok vagy fejlett APT csoportok – lehetnek az elkövetők. Ilyen nyelvezetet az Apple jellemzően csak a legsúlyosabb biztonsági incidenseknél használ.
Érintett eszközök
A frissítés széles eszközkört érint, beleértve a következő modelleket:
- iPhone XS és újabb modellek
- iPad Pro 13 hüvelykes
- iPad Pro 12,9 hüvelykes (3. generáció és újabb)
- iPad Pro 11 hüvelykes (1. generáció és újabb)
- iPad Air (3. generáció és újabb)
- iPad (7. generáció és újabb)
- iPad mini (5. generáció és újabb)
A lista azt mutatja, hogy a sebezhetőség világszerte több millió felhasználót érinthet, függetlenül attól, hogy használóik a veszélyeztetett célcsoportba tartoznak-e vagy sem.
Javítás és védekezés
Az Apple a problémát javított határellenőrzéssel (bounds checking) orvosolta, ez egy alapvető programozási technika, amely biztosítja, hogy a memóriahozzáférések ne lépjék túl az előre meghatározott határokat. A vállalat szokásos gyakorlatához hűen csak a javítás kiadása után tette közzé a sérülékenységgel kapcsolatos részleteket, elkerülendő, hogy a támadók kihasználják azt, mielőtt a felhasználók frissíthetnének.
Mit tehetnek a felhasználók?
A biztonsági szakértők határozottan javasolják, hogy minden felhasználó azonnal telepítse az iOS 18.6.2 és iPadOS 18.6.2 frissítéseket, mivel a sérülékenységet már aktívan kihasználják. Késlekedés esetén az eszközök fogékonyak maradhatnak a támadásokkal szemben, például kártékony képfájlokat tartalmazó e-mailek, üzenetek vagy weboldalak révén.
Az Apple által felfedezett és javított CVE-2025-43300 számú sérülékenység komoly kockázatot jelent a felhasználókra nézve. Az ImageIO komponens hibáját már aktívan kihasználják célzott támadásokban, így a frissítés mielőbbi telepítése nem csak ajánlott, hanem elengedhetetlen a védelem szempontjából.