CVE-2025-43300 ਜ਼ੀਰੋ-ਡੇਅ ਕਮਜ਼ੋਰੀ

ਐਪਲ ਨੇ CVE-2025-43300 ਦੇ ਤੌਰ 'ਤੇ ਟਰੈਕ ਕੀਤੇ ਗਏ ਇੱਕ ਉੱਚ-ਜੋਖਮ ਵਾਲੇ ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀ ਨੂੰ ਠੀਕ ਕਰਨ ਲਈ ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਅਪਡੇਟਾਂ ਨੂੰ ਰੋਲ ਆਊਟ ਕੀਤਾ ਹੈ। ImageIO ਫਰੇਮਵਰਕ ਵਿੱਚ ਪਾਈ ਗਈ ਇਸ ਖਾਮੀ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਹੈ ਕਿ ਇਹ ਜੰਗਲੀ ਵਿੱਚ ਸਰਗਰਮੀ ਨਾਲ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ, ਜੋ iOS, iPadOS, ਅਤੇ macOS ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਇੱਕ ਗੰਭੀਰ ਖ਼ਤਰਾ ਹੈ।

ਕਮਜ਼ੋਰੀ ਕਿਵੇਂ ਕੰਮ ਕਰਦੀ ਹੈ

CVE-2025-43300 ਨੂੰ ਇੱਕ ਹੱਦ ਤੋਂ ਬਾਹਰ ਲਿਖਣ ਦੀ ਕਮਜ਼ੋਰੀ ਵਜੋਂ ਸ਼੍ਰੇਣੀਬੱਧ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਮੁੱਦਾ ਉਦੋਂ ਪੈਦਾ ਹੁੰਦਾ ਹੈ ਜਦੋਂ ImageIO ਇੱਕ ਬਦਨੀਤੀ ਨਾਲ ਤਿਆਰ ਕੀਤੀ ਗਈ ਤਸਵੀਰ ਨੂੰ ਪ੍ਰੋਸੈਸ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਮੈਮੋਰੀ ਭ੍ਰਿਸ਼ਟਾਚਾਰ ਹੁੰਦਾ ਹੈ। ਇਸ ਕਿਸਮ ਦੀ ਖਰਾਬੀ ਹਮਲਾਵਰਾਂ ਨੂੰ ਅਸੁਰੱਖਿਅਤ ਤਰੀਕਿਆਂ ਨਾਲ ਸਿਸਟਮ ਮੈਮੋਰੀ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਉਹਨਾਂ ਨੂੰ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਸਮਰੱਥਾਵਾਂ ਜਾਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ।

ਐਪਲ ਨੇ ਸਵੀਕਾਰ ਕੀਤਾ ਹੈ ਕਿ ਇਹ ਕਮਜ਼ੋਰੀ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਵਿਅਕਤੀਆਂ ਵਿਰੁੱਧ "ਬਹੁਤ ਹੀ ਸੂਝਵਾਨ" ਹਮਲਿਆਂ ਦਾ ਹਿੱਸਾ ਸੀ, ਜਿਸ ਨੇ ਉੱਨਤ ਸ਼ੋਸ਼ਣ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਇਸਦੀ ਵਰਤੋਂ ਨੂੰ ਉਜਾਗਰ ਕੀਤਾ।

ਕੌਣ ਜੋਖਮ ਵਿੱਚ ਹੈ?

ਇਹ ਬੱਗ ਐਪਲ ਡਿਵਾਈਸਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਆਧੁਨਿਕ ਆਈਫੋਨ, ਆਈਪੈਡ ਅਤੇ ਮੈਕ ਸ਼ਾਮਲ ਹਨ। ਹਾਲਾਂਕਿ ਐਪਲ ਨੇ ਹਮਲਾਵਰ ਕੌਣ ਹਨ ਜਾਂ ਉਨ੍ਹਾਂ ਦੇ ਨਿਸ਼ਾਨਿਆਂ ਦੀ ਪਛਾਣ ਦਾ ਖੁਲਾਸਾ ਨਹੀਂ ਕੀਤਾ ਹੈ, ਪਰ ਸ਼ੋਸ਼ਣ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਚੰਗੀ ਤਰ੍ਹਾਂ ਸਰੋਤ ਵਾਲੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ, ਸੰਭਵ ਤੌਰ 'ਤੇ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਸਮੂਹ, ਇਸ ਮੁਹਿੰਮ ਦੇ ਪਿੱਛੇ ਹਨ।

ਪੈਚ ਕੀਤੇ ਵਰਜਨ ਉਪਲਬਧ ਹਨ

ਐਪਲ ਨੇ ਬਿਹਤਰ ਸੀਮਾ ਜਾਂਚ ਰਾਹੀਂ CVE-2025-43300 ਨੂੰ ਠੀਕ ਕੀਤਾ ਅਤੇ ਸਮਰਥਿਤ ਸਿਸਟਮਾਂ ਵਿੱਚ ਅੱਪਡੇਟ ਜਾਰੀ ਕੀਤੇ। ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਜ਼ੋਰਦਾਰ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਉਹ ਹੇਠ ਲਿਖੇ ਸੰਸਕਰਣਾਂ 'ਤੇ ਅੱਪਗ੍ਰੇਡ ਕਰਨ:

• iOS 18.6.2 ਅਤੇ iPadOS 18.6.2 - iPhone XS ਅਤੇ ਬਾਅਦ ਵਾਲੇ, iPad Pro (13-ਇੰਚ, 12.9-ਇੰਚ ਤੀਜੀ ਪੀੜ੍ਹੀ+, 11-ਇੰਚ ਪਹਿਲੀ ਪੀੜ੍ਹੀ+), iPad Air ਤੀਜੀ ਪੀੜ੍ਹੀ+, iPad 7ਵੀਂ ਪੀੜ੍ਹੀ+, iPad mini 5ਵੀਂ ਪੀੜ੍ਹੀ+।
• iPadOS 17.7.10 – iPad Pro 12.9-ਇੰਚ 2nd gen, iPad Pro 10.5-inch, iPad 6th gen.
• macOS Ventura 13.7.8 – Ventura ਚਲਾਉਣ ਵਾਲੇ ਡਿਵਾਈਸ।
• macOS ਸੋਨੋਮਾ 14.7.8 – ਸੋਨੋਮਾ ਚਲਾਉਣ ਵਾਲੇ ਡਿਵਾਈਸ।
• macOS Sequoia 15.6.1 – Sequoia ਚਲਾਉਣ ਵਾਲੇ ਡਿਵਾਈਸ।

ਸ਼ੋਸ਼ਣ ਕੀਤੇ ਗਏ ਜ਼ੀਰੋ-ਡੇਅ ਦੀ ਵਧਦੀ ਸੂਚੀ

CVE-2025-43300 ਕੋਈ ਇਕੱਲੀ ਘਟਨਾ ਨਹੀਂ ਹੈ। ਸਾਲ ਦੀ ਸ਼ੁਰੂਆਤ ਤੋਂ ਲੈ ਕੇ, ਐਪਲ ਨੇ ਸੱਤ ਸ਼ੋਸ਼ਣ ਕੀਤੇ ਜ਼ੀਰੋ-ਡੇਅ ਪੈਚ ਕੀਤੇ ਹਨ:

• ਸੀਵੀਈ-2025-24085
• ਸੀਵੀਈ-2025-24200
• ਸੀਵੀਈ-2025-24201

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਐਪਲ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਇੱਕ ਓਪਨ-ਸੋਰਸ ਕੰਪੋਨੈਂਟ ਨਾਲ ਜੁੜੀ ਇੱਕ ਸਫਾਰੀ ਨੁਕਸ (CVE-2025-6558) ਨੂੰ ਠੀਕ ਕੀਤਾ ਹੈ, ਜਿਸਦੀ ਪਹਿਲਾਂ ਹੀ ਗੂਗਲ ਕਰੋਮ ਵਿੱਚ ਜ਼ੀਰੋ-ਡੇ ਵਜੋਂ ਦੁਰਵਰਤੋਂ ਕੀਤੀ ਜਾ ਰਹੀ ਸੀ।

ਇਹ ਕਮਜ਼ੋਰੀਆਂ ਕਿਉਂ ਮਾਇਨੇ ਰੱਖਦੀਆਂ ਹਨ

ਜ਼ੀਰੋ-ਡੇਅ ਸ਼ੋਸ਼ਣ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿੱਚ ਸਭ ਤੋਂ ਖ਼ਤਰਨਾਕ ਖਤਰਿਆਂ ਵਿੱਚੋਂ ਇੱਕ ਹਨ ਕਿਉਂਕਿ ਹਮਲਾਵਰ ਪੈਚਾਂ ਦੇ ਜਨਤਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਹੀ ਉਨ੍ਹਾਂ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੇ ਹਨ। ਜਦੋਂ CVE-2025-43300 ਵਰਗੀਆਂ ਖਾਮੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਈ ਜਾਸੂਸੀ ਮੁਹਿੰਮਾਂ ਨਾਲ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਉਹ ਨਾ ਸਿਰਫ਼ ਵਿਅਕਤੀਆਂ ਲਈ ਸਗੋਂ ਉੱਦਮਾਂ, ਸਰਕਾਰਾਂ ਅਤੇ ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਲਈ ਵੀ ਜੋਖਮ ਪੈਦਾ ਕਰਦੇ ਹਨ।

ਸੁਰੱਖਿਅਤ ਰਹਿਣਾ

ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਹ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ:

• ਤੁਰੰਤ ਨਵੀਨਤਮ ਪੈਚ ਕੀਤੇ ਸੰਸਕਰਣ 'ਤੇ ਅੱਪਡੇਟ ਕਰੋ।
• ਅਣਜਾਣ ਸਰੋਤਾਂ ਤੋਂ ਅਣਚਾਹੇ ਚਿੱਤਰ ਫਾਈਲਾਂ ਜਾਂ ਸਮੱਗਰੀ ਨੂੰ ਖੋਲ੍ਹਣ ਤੋਂ ਬਚੋ।
• ਐਕਸਪੋਜ਼ਰ ਵਿੰਡੋਜ਼ ਨੂੰ ਜ਼ੀਰੋ-ਡੇਅ ਖ਼ਤਰਿਆਂ ਤੱਕ ਘਟਾਉਣ ਲਈ ਆਟੋਮੈਟਿਕ ਅੱਪਡੇਟਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ।

CVE-2025-43300 ਨੂੰ ਤੁਰੰਤ ਸੰਬੋਧਿਤ ਕਰਕੇ, ਐਪਲ ਹਮਲੇ ਦੀ ਸਤ੍ਹਾ ਨੂੰ ਘਟਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ, ਪਰ ਸ਼ੋਸ਼ਣ ਦੀ ਹੋਂਦ ਇੱਕ ਯਾਦ ਦਿਵਾਉਂਦੀ ਹੈ ਕਿ ਨਿਰੰਤਰ ਅਤੇ ਸੂਝਵਾਨ ਵਿਰੋਧੀ ਲਗਾਤਾਰ ਨਵੇਂ ਐਂਟਰੀ ਪੁਆਇੰਟਾਂ ਦੀ ਭਾਲ ਕਰ ਰਹੇ ਹਨ।