CVE-2025-43300 शून्य-दिन भेद्यता

Apple ने CVE-2025-43300 नामक एक उच्च-जोखिम वाले ज़ीरो-डे भेद्यता को ठीक करने के लिए महत्वपूर्ण सुरक्षा अपडेट जारी किए हैं। ImageIO फ्रेमवर्क में पाई गई इस खामी का खुलेआम शोषण किया जा रहा है, जिससे iOS, iPadOS और macOS उपयोगकर्ताओं के लिए एक गंभीर खतरा पैदा हो रहा है।

भेद्यता कैसे काम करती है

CVE-2025-43300 को सीमा-बाह्य लेखन भेद्यता के रूप में वर्गीकृत किया गया है। यह समस्या तब उत्पन्न होती है जब ImageIO दुर्भावनापूर्ण रूप से तैयार की गई छवि को संसाधित करता है, जिससे मेमोरी दूषित हो जाती है। इस प्रकार की खामी हमलावरों को असुरक्षित तरीकों से सिस्टम मेमोरी में हेरफेर करने की अनुमति देती है, जिससे उन्हें रिमोट कोड निष्पादन क्षमताएँ या संवेदनशील डेटा तक पहुँच मिल सकती है।

एप्पल ने स्वीकार किया है कि यह भेद्यता लक्षित व्यक्तियों के विरुद्ध "अत्यंत परिष्कृत" हमलों का हिस्सा थी, तथा उन्नत शोषण अभियानों में इसके उपयोग पर प्रकाश डाला है।

जोखिम में कौन है?

यह बग आधुनिक आईफ़ोन, आईपैड और मैक सहित कई तरह के ऐप्पल उपकरणों को प्रभावित करता है। हालाँकि ऐप्पल ने हमलावरों या उनके लक्ष्यों की पहचान का खुलासा नहीं किया है, लेकिन इस बग से संकेत मिलता है कि इस अभियान के पीछे अच्छी तरह से संसाधन संपन्न ख़तरा पैदा करने वाले, संभवतः राज्य-प्रायोजित समूह, हैं।

पैच किए गए संस्करण उपलब्ध हैं

Apple ने बेहतर सीमा जाँच के ज़रिए CVE-2025-43300 को ठीक किया और सभी समर्थित सिस्टम्स पर अपडेट जारी किए। उपयोगकर्ताओं को निम्नलिखित संस्करणों में अपग्रेड करने की पुरज़ोर सलाह दी जाती है:

• iOS 18.6.2 और iPadOS 18.6.2 - iPhone XS और बाद के संस्करण, iPad Pro (13-इंच, 12.9-इंच 3rd gen+, 11-इंच 1st gen+), iPad Air 3rd gen+, iPad 7th gen+, iPad mini 5th gen+।
• iPadOS 17.7.10 - iPad Pro 12.9-इंच दूसरी पीढ़ी, iPad Pro 10.5-इंच, iPad 6वीं पीढ़ी।
• macOS Ventura 13.7.8 – Ventura चलाने वाले डिवाइस.
• macOS Sonoma 14.7.8 – Sonoma चलाने वाले डिवाइस.
• macOS Sequoia 15.6.1 – Sequoia चलाने वाले डिवाइस.

शोषित शून्य-दिनों की बढ़ती सूची

CVE-2025-43300 कोई अकेली घटना नहीं है। साल की शुरुआत से, Apple ने सात बार शोषण किए गए ज़ीरो-डेज़ को पैच किया है:

• सीवीई-2025-24085
• सीवीई-2025-24200
• सीवीई-2025-24201

इसके अतिरिक्त, एप्पल ने हाल ही में एक ओपन-सोर्स घटक से जुड़ी सफारी खामी (CVE-2025-6558) को ठीक किया है, जिसका पहले ही गूगल क्रोम में जीरो-डे के रूप में दुरुपयोग किया जा चुका था।

ये कमज़ोरियाँ क्यों महत्वपूर्ण हैं

साइबर सुरक्षा में ज़ीरो-डे एक्सप्लॉइट सबसे खतरनाक खतरों में से एक हैं क्योंकि हमलावर पैच सार्वजनिक रूप से उपलब्ध होने से पहले ही इनका लाभ उठा लेते हैं। जब CVE-2025-43300 जैसी खामियाँ लक्षित जासूसी अभियानों से जुड़ी होती हैं, तो वे न केवल व्यक्तियों के लिए, बल्कि उद्यमों, सरकारों और महत्वपूर्ण बुनियादी ढाँचे के लिए भी जोखिम पैदा करती हैं।

सुरक्षित रहना

उपयोगकर्ताओं को चाहिए:

• तुरंत नवीनतम पैच संस्करण पर अपडेट करें।
• अज्ञात स्रोतों से प्राप्त अवांछित छवि फ़ाइलें या सामग्री खोलने से बचें।
• शून्य-दिन के खतरों के लिए जोखिम विंडो को कम करने के लिए स्वचालित अपडेट सक्षम करें।

CVE-2025-43300 को तुरंत संबोधित करके, एप्पल ने हमले की सतह को कम करने में मदद की है, लेकिन शोषण का अस्तित्व एक अनुस्मारक है कि लगातार और परिष्कृत विरोधी लगातार नए प्रवेश बिंदुओं की तलाश कर रहे हैं।