CVE-2025-43300 Nulinės dienos pažeidžiamumas

„Apple“ išleido svarbius saugos atnaujinimus, kad ištaisytų didelės rizikos nulinės dienos pažeidžiamumą, pažymėtą numeriu CVE-2025-43300. Patvirtinta, kad šis „ImageIO“ sistemoje rastas trūkumas aktyviai išnaudojamas ir kelia rimtą grėsmę „iOS“, „iPadOS“ ir „macOS“ naudotojams.

Kaip veikia pažeidžiamumas

CVE-2025-43300 yra klasifikuojamas kaip rašymo už ribų pažeidžiamumas. Problema kyla, kai „ImageIO“ apdoroja kenkėjiškai sukurtą vaizdą, dėl kurio sugadinama atmintis. Šio tipo spraga leidžia užpuolikams nesaugiai manipuliuoti sistemos atmintimi, potencialiai suteikdama jiems nuotolinio kodo vykdymo galimybes arba prieigą prie jautrių duomenų.

„Apple“ pripažino, kad ši pažeidžiamumas buvo „itin sudėtingų“ atakų prieš tikslinius asmenis dalis, pabrėždama jos naudojimą pažangiose išnaudojimo kampanijose.

Kam gresia pavojus?

Ši klaida paveikia daugybę „Apple“ įrenginių, įskaitant šiuolaikinius „iPhone“, „iPad“ ir „Mac“. Nors „Apple“ neatskleidė, kas yra užpuolikai ar jų taikinių tapatybės, šios klaidos išnaudojimas rodo, kad už kampanijos slypi gerai aprūpinti grėsmių veikėjai, galbūt valstybės remiamos grupės.

Galimos pataisytos versijos

„Apple“ ištaisė CVE-2025-43300 klaidą patobulindama ribų tikrinimą ir išleisdama atnaujinimus visose palaikomose sistemose. Vartotojams primygtinai rekomenduojama atnaujinti į šias versijas:

• „iOS 18.6.2“ ir „iPadOS 18.6.2“ – „iPhone XS“ ir naujesni modeliai, „iPad Pro“ (13 colių, 12,9 colio (3-ios kartos ir vėlesni, 11 colių (1-os kartos ir vėlesni), „iPad Air“ (3-ios kartos ir vėlesni), „iPad“ (7-os kartos ir vėlesni), „iPad mini“ (5-os kartos ir vėlesni).
• iPadOS 17.7.10 – iPad Pro 12,9 colio 2 gen., iPad Pro 10,5 colio, iPad 6 gen.
• „macOS Ventura 13.7.8“ – įrenginiai, kuriuose veikia „Ventura“.
• macOS Sonoma 14.7.8 – įrenginiai, kuriuose veikia „Sonoma“.
• macOS Sequoia 15.6.1 – įrenginiai, kuriuose veikia „Sequoia“.

Augantis išnaudotų nulinių dienų sąrašas

CVE-2025-43300 nėra pavienis incidentas. Nuo metų pradžios „Apple“ ištaisė septynis nulinės dienos atakų pataisymus:

• CVE-2025-24085
• CVE-2025-24200
• CVE-2025-24201

• CVE-2025-31200

• CVE-2025-31201

• CVE-2025-43200

• CVE-2025-43300

Be to, „Apple“ neseniai ištaisė „Safari“ naršyklės klaidą (CVE-2025-6558), susijusią su atvirojo kodo komponentu, kuris jau buvo panaudotas kaip nulinės dienos klaida „Google Chrome“.

Kodėl šie pažeidžiamumai svarbūs

Nulinės dienos spragos yra vienos pavojingiausių kibernetinio saugumo grėsmių, nes užpuolikai jas išnaudoja dar prieš viešai prieinamų pataisymų atsiradimą. Kai tokie trūkumai kaip CVE-2025-43300 yra susieti su tikslinėmis šnipinėjimo kampanijomis, jie kelia pavojų ne tik asmenims, bet ir įmonėms, vyriausybėms ir ypatingos svarbos infrastruktūrai.

Apsauga

Vartotojai turėtų:

• Nedelsiant atnaujinkite į naujausią pataisytą versiją.
• Venkite atidaryti nepageidaujamų vaizdo failų ar turinio iš nežinomų šaltinių.
• Įjunkite automatinius atnaujinimus, kad sumažintumėte nulinės dienos grėsmių poveikio laikotarpius.

Greitai spręsdama CVE-2025-43300 problemą, „Apple“ padeda sumažinti atakų paviršių, tačiau šios spragos egzistavimas primena, kad atkaklūs ir sudėtingi priešininkai nuolat ieško naujų patekimo taškų.