אפל (Apple) שחררה עדכוני חירום לכל מערכות ההפעלה של החברה כדי לתקן חולשת אבטחה חמורה שקיבלה את קוד הזיהוי CVE-2025-43300.
החולשה מנוצלת באופן פעיל על ידי תוקפים במתקפות מתוחכמות במיוחד לדברי החברה, ומאפשרת הפעלת קוד זדוני באמצעות קבצי תמונה יעודיים.
חולשת האבטחה החדשה אותרה ב-Image I/O, רכיב מערכת המאפשר לאפליקציות לקרוא ולכתוב קבצי תמונה בפורמטים שונים.
הפגיעות נובעת מחוסר בקרה נאותה על גבולות הזיכרון, מה שמאפשר לתוקפים לכתוב נתונים מחוץ לאיזור המיועד בזיכרון ובכך לגרום לקריסת התוכנה, לפגיעה במידע או במקרה הגרוע ביותר – להרצת קוד זדוני.
מתקפות מתוחכמות נגד יעדים ספציפיים
אפל חשפה כי הפרצה כבר נוצלה במתקפות ממוקדות נגד אנשים ספציפיים, לפי עדכון האבטחה הרשמי (בתרגום חופשי לעברית):
אפל מודעת לדיווח לפיו חולשה זו נוצלה במתקפה מתוחכמת ביותר נגד אנשים ספציפיים.
התוקפים מנצלים את הבעיה על ידי הפצת קבצי תמונה זדוניים שגורמים לתוכנות לעבד נתונים בצורה לא בטוחה. החברה תיקנה את הפגיעות באמצעות שיפור בקרת הגבולות במערכת, כדי למנוע ניצול עתידי של החולשה.
מכשירים מושפעים ועדכונים זמינים
הפגיעות משפיעה על מגוון רחב של מכשירי אפל, החל מדגמים ישנים יותר ועד למכשירים החדשים ביותר:
- מכשירי iPhone XS ומעלה – עדכון iOS 18.6.2
- מכשירי iPad – עדכון iPadOS 18.6.2 או iPadOS 17.7.10 בהתאם לדגם
- מחשבי Mac – עדכונים למערכות macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 ו-macOS Ventura 13.7.8
אפל טרם פרסמה פרטים נוספים על המתקפות “המתוחכמות במיוחד” שתיארה, ולא ייחסה את גילוי הפרצה לחוקר ביטחון ספציפי.
למרות שהבעיה כנראה מנוצלת רק במתקפות ממוקדות, החברה ממליצה למשתמשים להתקין את עדכוני הביטחון באופן מיידי כדי למנוע נזק אפשרי ממתקפות מתמשכות.
