🔐 CVE-2025-43300 – Kritikus sérülékenység az Image I/O modulban
🚨 Aktív támadások célpontjai lettek iPhone és Mac felhasználók
Az Apple vészfrissítést adott ki egy aktívan kihasznált zero-day sebezhetőség miatt, amelyet a vállalat „extrém kifinomult támadásként” jellemzett, kifejezetten célzott áldozatokkal szemben.
🔍 Részletek a sérülékenységről
- CVE azonosító: CVE-2025-43300
- Modul: Image I/O framework
- Típus: Out-of-Bounds Write → memória korrupció
- Hatás: Távoli kódfuttatás lehetősége egy rosszindulatú kép megnyitásával
A sebezhetőség lehetővé tette, hogy a támadó képen keresztül írjon a memóriába a határokon kívül, ami kódfuttatásra vagy akár teljes eszköz-átvételre is használható lehet.
✅ Javított verziók
Frissítések már elérhetők a következő rendszerekre:
| Eszköz | Verzió |
|---|---|
| iPhone, iPad | iOS 18.6.2, iPadOS 18.6.2 / 17.7.10 |
| macOS | Sequoia 15.6.1, Sonoma 14.7.8, Ventura 13.7.8 |
📱 Érintett eszközök
- iPhone XS és újabb modellek
- iPad Pro 13”, 12.9” (3. gen+), 11” (1. gen+), iPad Air (3. gen+), iPad (7. gen+), iPad mini (5. gen+)
- Régebbi modellek is, mint a 12.9” (2. gen), 10.5”, iPad 6. gen
- Minden Mac, amely Sequoia, Sonoma vagy Ventura rendszert futtat
📌 2025: már a 6. Apple Zero-Day javítás
| Hónap | CVE azonosító | Leírás |
|---|---|---|
| Január | CVE-2025-24085 | Use-after-free – jogosultságemelés |
| Február | CVE-2025-24200 | USB korlátozás megkerülése |
| Március | CVE-2025-24201 | (nincs publikus adat) |
| Április | CVE-2025-31200 | Memóriakorrupció hangfájl feldolgozás során |
| Április | CVE-2025-31201 | Pointer Authentication megkerülés |
| Augusztus | CVE-2025-43300 | Image I/O – távoli kódfuttatás rosszindulatú kép megnyitásával |
Apple többször hangsúlyozta: nem tesznek közzé részletes információt, mivel ezek kifejezetten célzott támadások.
🔐 Frissítési javaslat minden felhasználónak
Javasolt azonnal frissíteni:
iPhone / iPad esetén:
Beállítások > Általános > Szoftverfrissítés
Mac esetén:
Rendszerbeállítások > Általános > Szoftverfrissítés
