CVE-2025-43300 Zero-day ranjivost

Apple je izdao kritična sigurnosna ažuriranja kako bi ispravio visokorizičnu zero-day ranjivost označenu kao CVE-2025-43300. Potvrđeno je da se propust, pronađen u ImageIO okviru, aktivno iskorištava, predstavljajući ozbiljnu prijetnju korisnicima iOS-a, iPadOS-a i macOS-a.

Kako ranjivost funkcionira

CVE-2025-43300 klasificiran je kao ranjivost pisanja izvan granica. Problem nastaje kada ImageIO obrađuje zlonamjerno izrađenu sliku, što dovodi do oštećenja memorije. Ova vrsta propusta omogućuje napadačima manipuliranje memorijom sustava na nesigurne načine, potencijalno im dajući mogućnosti udaljenog izvršavanja koda ili pristup osjetljivim podacima.

Apple je priznao da je ranjivost bila dio "izuzetno sofisticiranih" napada na ciljane pojedince, ističući njezinu upotrebu u naprednim kampanjama iskorištavanja.

Tko je u opasnosti?

Greška utječe na širok raspon Appleovih uređaja, uključujući moderne iPhonee, iPade i Macove. Iako Apple nije otkrio tko su napadači niti identitet njihovih meta, iskorištavanje ukazuje na to da iza kampanje stoje dobro opremljeni akteri prijetnji, moguće skupine koje sponzorira država.

Dostupne zakrpane verzije

Apple je ispravio grešku CVE-2025-43300 poboljšanom provjerom granica i objavio ažuriranja na podržanim sustavima. Korisnicima se toplo preporučuje nadogradnja na sljedeće verzije:

• iOS 18.6.2 i iPadOS 18.6.2 – iPhone XS i noviji, iPad Pro (13-inčni, 12,9-inčni 3. generacije+, 11-inčni 1. generacije+), iPad Air 3. generacije+, iPad 7. generacije+, iPad mini 5. generacije+.
• iPadOS 17.7.10 – iPad Pro 12,9 inča 2. gen, iPad Pro 10,5 inča, iPad 6. gen.
• macOS Ventura 13.7.8 – uređaji s Venturom.
• macOS Sonoma 14.7.8 – uređaji koji koriste Sonomu.
• macOS Sequoia 15.6.1 – uređaji koji koriste Sequoiu.

Rastući popis iskorištenih zero-day napada

CVE-2025-43300 nije izolirani incident. Od početka godine, Apple je zakrpao sedam iskorištavanih zero-day ranjivosti:

• CVE-2025-24085
• CVE-2025-24200
• CVE-2025-24201

• CVE-2025-31200

• CVE-2025-31201

• CVE-2025-43200

• CVE-2025-43300

Osim toga, Apple je nedavno ispravio grešku u Safariju (CVE-2025-6558) povezanu s komponentom otvorenog koda, koja je već bila zloupotrijebljena kao zero-day greška u Google Chromeu.

Zašto su ove ranjivosti važne

Zero-day propusti su među najopasnijim prijetnjama u kibernetičkoj sigurnosti jer ih napadači iskorištavaju prije nego što zakrpe postanu javno dostupne. Kada su propusti poput CVE-2025-43300 povezani s ciljanim špijunskim kampanjama, predstavljaju rizik ne samo za pojedince već i za poduzeća, vlade i kritičnu infrastrukturu.

Ostati zaštićen

Korisnici bi trebali:

• Odmah ažurirajte na najnoviju zakrpanu verziju.
• Izbjegavajte otvaranje neželjenih slikovnih datoteka ili sadržaja iz nepoznatih izvora.
• Omogućite automatska ažuriranja kako biste smanjili vrijeme izloženosti zero-day prijetnjama.

Pravovremenim rješavanjem problema CVE-2025-43300, Apple pomaže u smanjenju površine napada, ali postojanje ovog exploita podsjetnik je da uporni i sofisticirani protivnici stalno traže nove ulazne točke.