Apple zakrpao zero-day ranjivost na svojim platformama
Apple je objavio sigurnosna ažuriranja za iPhone, iPad i Mac računala kako bi popravio zero-day ranjivost koja se koristi u ciljanim napadima.
Apple je objavio sigurnosna ažuriranja za iPhone, iPad i Mac računala kako bi popravio zero-day ranjivost koja se koristi u ciljanim napadima, a ova pokrivaju:
* iOS 18.6.2 i iPadOS 18.6.2 (iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12.9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji, te iPad mini 5. generacije i noviji);
* iPadOS 17.7.10 (iPad Pro 12.9-inčni 2. generacije, iPad Pro 10.5-inčni i iPad 6. generacije);
* macOS Sequoia 15.6.1;
* macOS Sonoma 14.7.8; i
* macOS Ventura 13.7.8.
Apple je potvrdio izvješća da su napadači možda već iskoristili ovaj propust u vrlo sofisticiranoj operaciji usmjerenoj na specifične, visokovrijedne ciljeve.
Korisnici iOS-a i iPadOS-a mogu provjeriti koriste li najnoviju verziju softvera odlaskom na Postavke > Općenito > Ažuriranje softvera. Trebali biste imati iOS 18.6.2 ili iPadOS 18.6.2 (ili 17.7.10 za starije modele), stoga ažurirajte odmah ako to već niste učinili. Također je korisno uključiti Automatska ažuriranja, tko već to nema uključeno.
Korisnici Maca trebaju kliknuti na Apple izbornik u gornjem lijevom kutu zaslona i otvoriti Postavke sustava i Općenito, a zatim Ažuriranje softvera. Mac će automatski provjeriti ima li novih ažuriranja. Ako je ažuriranje dostupno, pojavit će se opcija za preuzimanje i instalaciju. Ovisno o veličini ažuriranja, ovaj proces može trajati od nekoliko minuta do sat vremena, a će se računalo morati resetirati kako bi se instalacija dovršila.
Propust se prati pod oznakom CVE-2025-43300 i nalazi se u dijelu macOS-a koji se izvršava kad god aplikacija treba otvoriti ili spremiti sliku.
Ranjivost "out-of-bounds write" znači da napadač može manipulirati dijelovima memorije uređaja koji bi trebali biti izvan njihovog dosega. Takav propust u programu omogućuje mu čitanje ili pisanje izvan granica koje program postavlja, što napadačima omogućuje manipulaciju drugim dijelovima memorije dodijeljenim kritičnijim funkcijama. Napadači mogu upisati kod u dio memorije gdje ga sustav izvršava s dozvolama koje program i korisnik ne bi smjeli imati.
U ovom slučaju, napadač bi mogao izraditi sliku kako bi iskoristio ranjivost. Obrada takve zlonamjerne slikovne datoteke rezultirala bi manipuliranjem inače nedostupnih dijelova memorije kako bi se srušio proces ili pokrenuo napadačev kod.
