CVE-2025-43300 शून्य-दिन जोखिम

एप्पलले CVE-2025-43300 को रूपमा ट्र्याक गरिएको उच्च-जोखिम शून्य-दिनको जोखिमलाई समाधान गर्न महत्वपूर्ण सुरक्षा अपडेटहरू रोल आउट गरेको छ। ImageIO फ्रेमवर्कमा पाइने त्रुटि, iOS, iPadOS, र macOS प्रयोगकर्ताहरूको लागि गम्भीर खतरा खडा गर्ने, जंगलमा सक्रिय रूपमा शोषण गरिएको पुष्टि भएको छ।

जोखिमले कसरी काम गर्छ

CVE-2025-43300 लाई सीमा बाहिरको लेखन जोखिमको रूपमा वर्गीकृत गरिएको छ। यो समस्या तब उत्पन्न हुन्छ जब ImageIO ले दुर्भावनापूर्ण रूपमा तयार पारिएको छवि प्रशोधन गर्छ, जसले मेमोरी भ्रष्टाचार निम्त्याउँछ। यस प्रकारको त्रुटिले आक्रमणकारीहरूलाई असुरक्षित तरिकाले प्रणाली मेमोरी हेरफेर गर्न अनुमति दिन्छ, सम्भावित रूपमा तिनीहरूलाई रिमोट कोड कार्यान्वयन क्षमताहरू वा संवेदनशील डेटामा पहुँच प्रदान गर्दछ।

एप्पलले यो जोखिम लक्षित व्यक्तिहरू विरुद्ध गरिएको "अत्यन्त परिष्कृत" आक्रमणको अंश भएको स्वीकार गरेको छ, जसले उन्नत शोषण अभियानहरूमा यसको प्रयोगलाई प्रकाश पारेको छ।

जोखिममा को छ?

यो बगले आधुनिक आईफोन, आईप्याड र म्याक सहित एप्पलका विभिन्न उपकरणहरूलाई असर गर्छ। एप्पलले आक्रमणकारीहरू को हुन् वा उनीहरूको लक्ष्यको पहिचान खुलासा गरेको छैन, तर शोषणले यो अभियानको पछाडि राम्रो स्रोतसाधन भएका खतरा अभिनेताहरू, सम्भवतः राज्य-प्रायोजित समूहहरू रहेको संकेत गर्छ।

प्याच गरिएका संस्करणहरू उपलब्ध छन्

एप्पलले सुधारिएको सीमा जाँच मार्फत CVE-2025-43300 फिक्स गर्‍यो र समर्थित प्रणालीहरूमा अद्यावधिकहरू जारी गर्‍यो। प्रयोगकर्ताहरूलाई निम्न संस्करणहरूमा स्तरोन्नति गर्न दृढतापूर्वक सल्लाह दिइन्छ:

• iOS १८.६.२ र iPadOS १८.६.२ - iPhone XS र पछिल्ला, iPad Pro (१३-इन्च, १२.९-इन्च तेस्रो पुस्ता+, ११-इन्च पहिलो पुस्ता+), iPad Air तेस्रो पुस्ता+, iPad ७ औं पुस्ता+, iPad मिनी पाँचौं पुस्ता+।
• iPadOS 17.7.10 - iPad Pro 12.9-inch 2nd जेन, iPad Pro 10.5-inch, iPad 6th जेन।
• macOS Ventura १३.७.८ - Ventura चलाउने उपकरणहरू।
• macOS Sonoma १४.७.८ - Sonoma चल्ने उपकरणहरू।
• macOS Sequoia १५.६.१ – Sequoia चल्ने उपकरणहरू।

शोषित शून्य-दिनहरूको बढ्दो सूची

CVE-2025-43300 कुनै पृथक घटना होइन। वर्षको सुरुवातदेखि, एप्पलले सातवटा शोषित शून्य-दिनहरू प्याच गरेको छ:

• हामीसँग अहिले स्टकमा CVE-2025-24085 को 250 टुक्राहरू उपलब्ध छन्।
• हामीसँग अहिले स्टकमा CVE-2025-24200 को 250 टुक्राहरू उपलब्ध छन्।
• हामीसँग अहिले स्टकमा CVE-2025-24201 को 250 टुक्राहरू उपलब्ध छन्।

थप रूपमा, एप्पलले हालै एउटा खुला-स्रोत कम्पोनेन्टसँग जोडिएको सफारी त्रुटि (CVE-2025-6558) समाधान गर्‍यो, जुन पहिले नै गुगल क्रोममा शून्य-दिनको रूपमा दुरुपयोग गरिएको थियो।

यी जोखिमहरू किन महत्त्वपूर्ण छन्

साइबर सुरक्षामा शून्य-दिनको शोषण सबैभन्दा खतरनाक खतराहरू मध्ये एक हो किनभने आक्रमणकारीहरूले प्याचहरू सार्वजनिक रूपमा उपलब्ध हुनुभन्दा पहिले नै तिनीहरूलाई प्रयोग गर्छन्। जब CVE-2025-43300 जस्ता त्रुटिहरू लक्षित जासुसी अभियानहरूसँग जोडिएका हुन्छन्, तिनीहरूले व्यक्तिहरूलाई मात्र नभई उद्यमहरू, सरकारहरू र महत्वपूर्ण पूर्वाधारहरूलाई पनि जोखिम निम्त्याउँछन्।

सुरक्षित रहने

प्रयोगकर्ताहरूले गर्नुपर्छ:

• तुरुन्तै पछिल्लो प्याच गरिएको संस्करणमा अपडेट गर्नुहोस्।
• अज्ञात स्रोतहरूबाट अनावश्यक छवि फाइलहरू वा सामग्री खोल्नबाट बच्नुहोस्।
• शून्य-दिनको खतरामा एक्सपोजर विन्डोज घटाउन स्वचालित अपडेटहरू सक्षम गर्नुहोस्।

CVE-2025-43300 लाई तुरुन्तै सम्बोधन गरेर, एप्पलले आक्रमणको सतह कम गर्न मद्दत गर्दछ, तर शोषणको अस्तित्वले निरन्तर र परिष्कृत विरोधीहरूले निरन्तर नयाँ प्रवेश बिन्दुहरू खोजिरहेका छन् भन्ने कुराको सम्झना गराउँछ।