Aktívne zneužívaná závažná zraniteľnosť Apple iOS, iPadOS a macOS

Spoločnosť Apple opravila vysoko závažnú aktívne zneužívanú zraniteľnosť v komponente ImageIO systémov macOS, iOS a iPadOS, ktoré umožňuje útočníkom spôsobiť poškodenie pamäte, zneužiteľné na ďalšie fázy útoku. To nastáva pri spracovaní špeciálne upraveného obrázkového súboru.

Zraniteľné systémy:

• macOS Ventura, verzie staršie ako 13.7.8
• macOS Sequoia, verzie staršie ako 15.6.1
• macOS Sonoma, verzie staršie ako 14.7.8
• iPadOS, verzie staršie ako 17.7.10
• iPadOS, verzie staršie ako 18.6.2
• iOS, verzie staršie ako 18.6.2

Opis činnosti:

CVE-2025-43300 (CVSS v3.1 skóre 8,8)

Spoločnosť Apple vydala aktualizácie na opravu zneužívanej zero-day zraniteľnosti CVE-2025-43300 v platforme ImageIO, ktorá súvisí s možnosťou zápisu do pamäte mimo povolené hodnoty. Útočník môže obeti podvrhnúť škodlivý obrázok, ktorého spracovanie spôsobí poškodenie pamäte. To môže štandardne viesť k pádu systému alebo umožniť vzdialené vykonanie kódu.

Zraniteľnosť sa týka produktov iPhone od modelu XS, iPad Pro 10.5-inch, iPad Pro 13-inch, iPad Pro 12.9-inch 2. generácie a novšie, iPad Pro 11-inch od 1. generácie, iPad Air 3. generácie a novšie, iPad od 6. generácie, iPad mini od 5. generácie, a počítače Mac s macOS Ventura, Sequoia a Sonoma.

Útočníci zraniteľnosť zneužívali v cielených sofistikovaných útokoch.

Možné škody:

• Nedostupnosť služby (DoS)
• Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia aspoň na verzie:

• macOS Ventura 13.7.8
• macOS Sequoia 15.6.1
• macOS Sonoma 14.7.8
• iPadOS 17.7.10
• iPadOS 18.6.2
• iOS 18.6.2

Odkazy:

• https://support.apple.com/en-us/124925
• https://support.apple.com/en-us/124928
• https://thehackernews.com/2025/08/apple-patches-cve-2025-43300-zero-day.html
• https://nvd.nist.gov/vuln/detail/CVE-2025-43300