פגיעות אפס-יום CVE-2025-43300

אפל פרסמה עדכוני אבטחה קריטיים כדי לתקן פגיעות אבטחה מסוג zero-day בסיכון גבוה, המסומנת כ-CVE-2025-43300. הפגם, שנמצא במסגרת ImageIO, אושר כמנוצל באופן פעיל, ומהווה איום חמור על משתמשי iOS, iPadOS ו-macOS.

כיצד פועלת הפגיעות

CVE-2025-43300 מסווג כפגיעות כתיבה מחוץ לתחום. הבעיה מתעוררת כאשר ImageIO מעבד תמונה שנוצרה באופן זדוני, מה שמוביל לפגם בזיכרון. פגם מסוג זה מאפשר לתוקפים לתמרן את זיכרון המערכת בדרכים לא בטוחות, מה שעלול להעניק להם יכולות ביצוע קוד מרחוק או גישה לנתונים רגישים.

אפל הודתה כי הפגיעות הייתה חלק מהתקפות "מתוחכמות ביותר" נגד אנשים ממוקדים, והדגישה את השימוש בה בקמפיינים מתקדמים לניצול.

מי נמצא בסיכון?

הבאג משפיע על מגוון רחב של מכשירי אפל, כולל אייפונים, אייפדים ומק מודרניים. בעוד שאפל לא חשפה מי התוקפים או את זהותם של המטרות שלהם, הניצול מצביע על כך שגורמים איום בעלי משאבים רבים, אולי קבוצות בחסות המדינה, עומדים מאחורי הקמפיין.

גרסאות מתוקנות זמינות

אפל תיקנה את CVE-2025-43300 באמצעות שיפור בדיקת הגבולות ושחרור עדכונים במערכות הנתמכות. מומלץ מאוד למשתמשים לשדרג לגרסאות הבאות:

• iOS 18.6.2 ו-iPadOS 18.6.2 – אייפון XS ואילך, אייפד פרו (13 אינץ', 12.9 אינץ' דור שלישי+, 11 אינץ' דור ראשון+), אייפד אייר דור שלישי+, אייפד דור שביעי+, אייפד מיני דור חמישי+.
• iPadOS 17.7.10 - iPad Pro 12.9 אינץ' דור שני, iPad Pro 10.5 אינץ', iPad דור 6.
• macOS Ventura 13.7.8 – מכשירים המריצים את Ventura.
• macOS Sonoma 14.7.8 – מכשירים עם מערכת הפעלה Sonoma.
• macOS Sequoia 15.6.1 – מכשירים עם מערכת הפעלה Sequoia.

רשימה הולכת וגדלה של ימי אפס מנוצלים

CVE-2025-43300 אינו מקרה בודד. מתחילת השנה, אפל תיקנה שבע תקלות אפס-ימי שנוצלו:

• CVE-2025-24085
• CVE-2025-24200
• CVE-2025-24201

בנוסף, אפל תיקנה לאחרונה פגם בספארי (CVE-2025-6558) שקשור לרכיב קוד פתוח, שכבר נוצל לרעה כ-zero-day בגוגל כרום.

מדוע פגיעויות אלו חשובות

פרצות אפס-יום הן בין האיומים המסוכנים ביותר בתחום אבטחת הסייבר, משום שתוקפים מנצלים אותן לפני שתיקונים זמינים לציבור. כאשר פגמים כמו CVE-2025-43300 קשורים לקמפיינים של ריגול ממוקד, הם מהווים סיכונים לא רק לאנשים פרטיים אלא גם לארגונים, ממשלות ותשתיות קריטיות.

להישאר מוגן

על המשתמשים:

• עדכן מיד לגרסה המעודכנת האחרונה.
• הימנעו מפתיחת קבצי תמונות או תוכן לא רצויים ממקורות לא ידועים.
• הפעל עדכונים אוטומטיים כדי לצמצם חלונות חשיפה לאיומי אפס-יום.

על ידי טיפול מהיר ב-CVE-2025-43300, אפל מסייעת להפחית את שטח התקיפה, אך קיומה של הניצול הוא תזכורת לכך שיריבים עקשניים ומתוחכמים מחפשים כל הזמן נקודות כניסה חדשות.