CVE-2025-43300 Zero-Day Vulnerability

Inilunsad ng Apple ang mga kritikal na update sa seguridad upang ayusin ang isang mataas na panganib na zero-day na kahinaan na sinusubaybayan bilang CVE-2025-43300. Ang kapintasan, na natagpuan sa balangkas ng ImageIO, ay nakumpirma bilang aktibong pinagsamantalahan sa ligaw, na naglalagay ng malubhang banta sa mga gumagamit ng iOS, iPadOS, at macOS.

Paano Gumagana ang Vulnerability

Ang CVE-2025-43300 ay inuri bilang isang out-of-bounds write vulnerability. Ang isyu ay lumitaw kapag ang ImageIO ay nagpoproseso ng isang maliciously crafted na imahe, na humahantong sa memory corruption. Ang ganitong uri ng kapintasan ay nagbibigay-daan sa mga umaatake na manipulahin ang memorya ng system sa mga hindi ligtas na paraan, na posibleng magbigay sa kanila ng mga kakayahan sa pagpapatupad ng malayuang code o access sa sensitibong data.

Kinilala ng Apple na ang kahinaan ay bahagi ng "lubhang sopistikadong" pag-atake laban sa mga naka-target na indibidwal, na itinatampok ang paggamit nito sa mga advanced na kampanya ng pagsasamantala.

Sino ang Nasa Panganib?

Nakakaapekto ang bug sa isang malawak na hanay ng mga Apple device, kabilang ang mga modernong iPhone, iPad, at Mac. Bagama't hindi isiniwalat ng Apple kung sino ang mga umaatake o ang mga pagkakakilanlan ng kanilang mga target, ipinahihiwatig ng pagsasamantala na ang mga aktor ng pagbabanta na may mahusay na mapagkukunan, posibleng mga grupong itinataguyod ng estado, ang nasa likod ng kampanya.

Available ang mga Patched na Bersyon

Inayos ng Apple ang CVE-2025-43300 sa pamamagitan ng pinahusay na pagsuri sa hangganan at naglabas ng mga update sa mga sinusuportahang system. Lubos na pinapayuhan ang mga user na mag-upgrade sa mga sumusunod na bersyon:

• iOS 18.6.2 at iPadOS 18.6.2 – iPhone XS at mas bago, iPad Pro (13-inch, 12.9-inch 3rd gen+, 11-inch 1st gen+), iPad Air 3rd gen+, iPad 7th gen+, iPad mini 5th gen+.
• iPadOS 17.7.10 – iPad Pro 12.9-inch 2nd gen, iPad Pro 10.5-inch, iPad 6th gen.
• macOS Ventura 13.7.8 – mga device na nagpapatakbo ng Ventura.
• macOS Sonoma 14.7.8 – mga device na nagpapatakbo ng Sonoma.
• macOS Sequoia 15.6.1 – mga device na nagpapatakbo ng Sequoia.

Isang Lumalagong Listahan ng Mga Pinagsamantalahang Zero-Day

Ang CVE-2025-43300 ay hindi isang nakahiwalay na insidente. Mula sa simula ng taon, na-patch ng Apple ang pitong pinagsamantalang zero-days:

• CVE-2025-24085
• CVE-2025-24200
• CVE-2025-24201

Bukod pa rito, kamakailan ay inayos ng Apple ang isang Safari flaw (CVE-2025-6558) na naka-link sa isang open-source na bahagi, na inabuso na bilang zero-day sa Google Chrome.

Bakit Mahalaga ang Mga Kahinaan na Ito

Ang mga zero-day exploit ay kabilang sa mga pinaka-mapanganib na banta sa cybersecurity dahil ginagamit ng mga umaatake ang mga ito bago ang mga patch ay magagamit sa publiko. Kapag ang mga kapintasan tulad ng CVE-2025-43300 ay nauugnay sa mga naka-target na kampanyang espiya, nagdudulot ito ng mga panganib hindi lamang sa mga indibidwal kundi sa mga negosyo, pamahalaan, at kritikal na imprastraktura.

Manatiling Protektado

Ang mga gumagamit ay dapat:

• Mag-update kaagad sa pinakabagong na-patch na bersyon.
• Iwasang magbukas ng mga hindi hinihinging file ng imahe o nilalaman mula sa hindi kilalang pinagmulan.
• Paganahin ang mga awtomatikong pag-update upang bawasan ang mga window ng pagkakalantad sa mga zero-day na banta.

Sa pamamagitan ng kaagad na pagtugon sa CVE-2025-43300, nakakatulong ang Apple na bawasan ang pag-atake, ngunit ang pagkakaroon ng pagsasamantala ay isang paalala na ang patuloy at sopistikadong mga kalaban ay patuloy na naghahanap ng mga bagong entry point.