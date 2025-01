Apple heeft een kwetsbaarheid in iOS verholpen die actief is gebruikt bij het uitvoeren van aanvallen tegen iPhones. Het beveiligingslek, aangeduid als CVE-2025-24085, is echter ook aanwezig in macOS en iPadOS. De kwetsbaarheid in CoreMedia maakt het mogelijk voor een malafide applicatie om zijn rechten te verhogen. Apple geeft geen verdere details over de aanvallen, behalve dat iPhones met iOS-versies voor iOS 17.2 het doelwit waren.

Het Core Media framework van Apple wordt gebruikt voor het verwerken van media. De kwetsbaarheid wordt door Apple omschreven als een 'use after free'. Dergelijke beveiligingslekken kunnen leiden tot het uitvoeren van willekeurige code. Misbruik vereist wel dat de malafide applicatie op het systeem aanwezig is. Dit zou kunnen door een andere kwetsbaarheid te gebruiken die remote code execution mogelijk maakt of bijvoorbeeld het slachtoffer te verleiden de app te installeren.

Apple laat ook niet weten welke app of apps misbruik van het lek maakten. Gebruikers worden aangeraden om te updaten naar iOS 18.3, iPadOS 18.3 of macOS Sequoia 15.3. Voor iOS 17 is geen beveiligingsupdate verschenen. Voor andere macOS-versies wel, maar daar is de kwetsbaarheid volgens Apple niet in aanwezig.