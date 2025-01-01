Apple heeft beveiligingsupdates uitgebracht voor een actief aangevallen beveiligingslek in iOS en macOS. Volgens het bedrijf is de kwetsbaarheid, aangeduid als CVE-2025-43300, bij een "zeer geraffineerde aanval tegen specifieke individuen" ingezet. Het beveiligingslek is aanwezige in het Image I/O framework van Apple waarmee applicaties allerlei soorten afbeeldingen kunnen verwerken.

Het verwerken van een malafide afbeelding op een kwetsbare versie van iOS of macOS kan volgens Apple tot memory corruption leiden. Verdere details over het probleem en de waargenomen aanvallen worden niet gegeven, behalve dat Apple de kwetsbaarheid zelf ontdekte. In het verleden zijn kwetsbaarheden in ImageIO gebruikt om iPhones stilletjes met de Pegasus-spyware te infecteren, waarmee aanvallers vergaande controle over de telefoon krijgen en gebruikers kunnen bespioneren. Het ging hierbij om zogenoemde 'zero-click' aanvallen, waarbij er geen enkele interactie van gebruikers is vereist.

Gebruikers van macOS worden opgeroepen om te updaten naar Ventura 13.7.8, Sonoma 14.7.8 of Sequoia 15.6.1. Voor eigenaren van een iPad of iPhone zijn iPadOS 17.7.10 en iPadOS en iOS 18.6.2 verschenen.