Kritikus ZERO DAY sérülékenységet javítottak iOS és iPadOS rendszerekben

2025. augusztus 20-án az Apple kiadta az iOS 18.6.2 és iPadOS 18.6.2 sürgős biztonsági frissítéseit, amely, amely egy kritikus nulladik napi (zero-day) sérülékenységet javít az ImageIO komponensben. A sérülékenységet – amelyet a CVE-2025-43300 azonosító alatt tartanak nyilván, a vállalat megerősítése szerint aktívan kihasználják valós támadások során, célzott egyéneket érintve.

A sérülékenység részletei

  • CVE azonosító: CVE-2025-43300
  • Súlyosság: Kritikus
  • Érintett komponens: ImageIO
  • Sérülékenység típusa: Out-of-bounds write
  • Érintett rendszerek: iOS 18.6.2, iPadOS 18.6.2

A hiba egy memóriakezelési problémából fakad: az Apple ImageIO keretrendszere nem megfelelően korlátozza a képfeldolgozás során használt memóriaterületeket, így lehetőség nyílik túlcsordulásos (out-of-bounds) írásra, amely memóriakorrupcióhoz vezethet. Egy kártékonyan manipulált képfájl elegendő ahhoz, hogy a támadó tetszőleges kódot futtasson az érintett eszközön.

Ez különösen veszélyes, mivel a képfeldolgozás a mindennapokban gyakran automatikusan történik – például weboldalak böngészésekor, üzenetek fogadásakor vagy fényképek megtekintésekor –, így a felhasználói interakció minimális vagy egyáltalán nem szükséges a fertőzéshez.

Célzott támadások és a kockázat mértéke

Az Apple biztonsági közleménye szerint a sebezhetőséget „extrém módon kifinomult támadások” során használták ki. Ez a megfogalmazás arra utal, hogy magas szintű fenyegetési szereplők – például állami támogatású kiberkémhálózatok vagy fejlett APT csoportok – lehetnek az elkövetők. Ilyen nyelvezetet az Apple jellemzően csak a legsúlyosabb biztonsági incidenseknél használ.

Érintett eszközök

A frissítés széles eszközkört érint, beleértve a következő modelleket:

  • iPhone XS és újabb modellek
  • iPad Pro 13 hüvelykes
  • iPad Pro 12,9 hüvelykes (3. generáció és újabb)
  • iPad Pro 11 hüvelykes (1. generáció és újabb)
  • iPad Air (3. generáció és újabb)
  • iPad (7. generáció és újabb)
  • iPad mini (5. generáció és újabb)

A lista azt mutatja, hogy a sebezhetőség világszerte több millió felhasználót érinthet, függetlenül attól, hogy használóik a veszélyeztetett célcsoportba tartoznak-e vagy sem.

Javítás és védekezés

Az Apple a problémát javított határellenőrzéssel (bounds checking) orvosolta, ez egy alapvető programozási technika, amely biztosítja, hogy a memóriahozzáférések ne lépjék túl az előre meghatározott határokat. A vállalat szokásos gyakorlatához hűen csak a javítás kiadása után tette közzé a sérülékenységgel kapcsolatos részleteket, elkerülendő, hogy a támadók kihasználják azt, mielőtt a felhasználók frissíthetnének.

Mit tehetnek a felhasználók?

A biztonsági szakértők határozottan javasolják, hogy minden felhasználó azonnal telepítse az iOS 18.6.2 és iPadOS 18.6.2 frissítéseket, mivel a sérülékenységet már aktívan kihasználják. Késlekedés esetén az eszközök fogékonyak maradhatnak a támadásokkal szemben, például kártékony képfájlokat tartalmazó e-mailek, üzenetek vagy weboldalak révén.

 

Az Apple által felfedezett és javított CVE-2025-43300 számú sérülékenység komoly kockázatot jelent a felhasználókra nézve. Az ImageIO komponens hibáját már aktívan kihasználják célzott támadásokban, így a frissítés mielőbbi telepítése nem csak ajánlott, hanem elengedhetetlen a védelem szempontjából.

(gbhackers.com)