Zraniteľnosť typu zero-day CVE-2025-43300

Spoločnosť Apple vydala kritické bezpečnostné aktualizácie, ktoré opravujú vysoko rizikovú zraniteľnosť typu zero-day s označením CVE-2025-43300. Chyba nájdená v frameworku ImageIO bola potvrdená ako aktívne zneužívaná a predstavuje vážnu hrozbu pre používateľov systémov iOS, iPadOS a macOS.

Ako funguje zraniteľnosť

CVE-2025-43300 je klasifikovaná ako zraniteľnosť typu zápis mimo hraníc. Problém vzniká, keď ImageIO spracováva škodlivo vytvorený obraz, čo vedie k poškodeniu pamäte. Tento typ chyby umožňuje útočníkom manipulovať so systémovou pamäťou nebezpečným spôsobom, čo im potenciálne poskytuje možnosti vzdialeného spúšťania kódu alebo prístup k citlivým údajom.

Spoločnosť Apple uznala, že táto zraniteľnosť bola súčasťou „mimoriadne sofistikovaných“ útokov na cielených jednotlivcov a zdôraznila jej použitie v pokročilých kampaniach zameraných na zneužívanie.

Kto je v ohrození?

Chyba postihuje širokú škálu zariadení Apple vrátane moderných iPhonov, iPadov a Macov. Hoci Apple nezverejnil, kto sú útočníci ani identitu ich cieľov, zneužitie naznačuje, že za kampaňou stoja dobre financovaní aktéri hrozby, pravdepodobne štátom sponzorované skupiny.

Dostupné opravené verzie

Spoločnosť Apple opravila chybu CVE-2025-43300 vylepšením kontroly hraníc a vydala aktualizácie na všetkých podporovaných systémoch. Používateľom dôrazne odporúčame prejsť na nasledujúce verzie:

• iOS 18.6.2 a iPadOS 18.6.2 – iPhone XS a novší, iPad Pro (13-palcový, 12,9-palcový 3. generácie a novšie, 11-palcový 1. generácie a novšie), iPad Air 3. generácie a novšie, iPad 7. generácie a novšie, iPad mini 5. generácie a novšie.
• iPadOS 17.7.10 – iPad Pro 12,9-palcový 2. gen., iPad Pro 10,5-palcový, iPad 6. gen.
• macOS Ventura 13.7.8 – zariadenia s operačným systémom Ventura.
• macOS Sonoma 14.7.8 – zariadenia so systémom Sonoma.
• macOS Sequoia 15.6.1 – zariadenia so systémom Sequoia.

Rastúci zoznam zneužitých zero-day útokov

CVE-2025-43300 nie je ojedinelý incident. Od začiatku roka Apple opravil sedem zneužitých zero-day chýb:

• CVE-2025-24085
• CVE-2025-24200
• CVE-2025-24201

• CVE-2025-31200

• CVE-2025-31201

• CVE-2025-43200

• CVE-2025-43300

Spoločnosť Apple navyše nedávno opravila chybu v prehliadači Safari (CVE-2025-6558) spojenú s komponentom s otvoreným zdrojovým kódom, ktorý už bol zneužitý ako zero-day chyba v prehliadači Google Chrome.

Prečo sú tieto zraniteľnosti dôležité

Zranenia typu zero-day patria medzi najnebezpečnejšie hrozby v kybernetickej bezpečnosti, pretože útočníci ich zneužívajú skôr, ako sú záplaty verejne dostupné. Keď sú chyby ako CVE-2025-43300 spojené s cielenými špionážnymi kampaňami, predstavujú riziko nielen pre jednotlivcov, ale aj pre podniky, vlády a kritickú infraštruktúru.

Zostať chránený

Používatelia by mali:

• Okamžite aktualizujte na najnovšiu opravenú verziu.
• Vyhnite sa otváraniu nevyžiadaných obrázkových súborov alebo obsahu z neznámych zdrojov.
• Povoľte automatické aktualizácie, aby ste znížili čas vystavenia hrozbám typu „zero-day“.

Rýchlym riešením chyby CVE-2025-43300 spoločnosť Apple pomáha znižovať plochu útoku, ale existencia tohto exploitu je pripomienkou, že vytrvalí a sofistikovaní protivníci neustále hľadajú nové vstupné body.