Apple, ImageIO bileşeninde bulunan ve kötü amaçlı hazırlanmış resim dosyalarının işlenmesi sırasında bellek bozulmasına neden olan sınır dışı yazma açığı CVE-2025-43300’u düzeltti. Bu güvenlik açığı, CVSS puanı 8.8 olan kritik bir zafiyet olup, karmaşık ve hedefli casus yazılım saldırılarında kullanılmış olabilir.
Hedefli Saldırılar ve Zincirleme Açıklar
WhatsApp tarafından da doğrulanan CVE-2025-55177 (CVSS 5.4) adlı başka bir güvenlik açığı, CVE-2025-43300 ile zincirlenerek 200’den az hedefe yönelik yüksek riskli casus yazılım saldırılarında kullanıldı. Apple, bu tür saldırıların belirli bireylere yönelik karmaşık operasyonlar kapsamında gerçekleştiğinin farkında.
Geriye Dönük Güncellemeler ve Desteklenen Cihazlar
Apple, bu açığı ilk olarak iOS 18.6.2, iPadOS 18.6.2, macOS Ventura 13.7.8 ve diğer yeni sürümlerde giderdi. Ancak, iPhone 8, iPhone X, iPad 5. nesil gibi eski cihazlar için iOS 16.7.12 ve iOS 15.8.5 gibi geriye dönük güncellemeler de yayımladı. Bu kapsamlı güncellemeler, tvOS, visionOS, watchOS, Safari ve Xcode gibi ek Apple platformlarını da kapsıyor.
Diğer Giderilen Güvenlik Açıkları
Yayınlanan güncellemeler, IOKit’te yetkilendirme açığı, LaunchServices’te kullanıcı izni olmadan tuş vuruşu izleme, Sandbox’ta izin sorunları, Safari ve WebKit’te beklenmeyen çökme ve URL yönlendirme açıkları gibi çok sayıda kritik güvenlik sorununu da çözüyor. Ayrıca, CoreAudio, DiskArbitration, Power Management ve Xcode gibi bileşenlerdeki çeşitli izin ve bellek yönetimi açıkları da kapatıldı.
Şu an için bu açıklıkların gerçek dünyada yaygın olarak kullanıldığına dair kanıt bulunmamakla birlikte, sistemlerin güncel tutulması siber güvenlik açısından kritik önem taşıyor.