Apple telah merilis pembaruan keamanan ke Backport Patches yang dirilis bulan lalu untuk iPhone dan iPad yang lebih tua, menangani bug nol-hari yang dieksploitasi dalam serangan “sangat canggih”.
Cacat keamanan ini adalah apel yang sama telah ditambal Untuk perangkat yang menjalankan iOS 18.6.2 dan iPados 18.6.2, Ipados 17.7.10, dan MacOS (Sequoia 15.6.1, Sonoma 14.7.8, dan Ventura 13.7.8) pada 20 Agustus.
Dilacak sebagai CVE-2025-43300kerentanan ini ditemukan oleh peneliti keamanan Apple dan disebabkan oleh Di luar batas menulis kelemahan Dalam kerangka I/O Image, yang memungkinkan aplikasi untuk membaca dan menulis format file gambar.
Penulisan yang tidak terikat terjadi ketika penyerang memasok input yang dibuat secara jahat ke program yang menyebabkannya menulis data di luar buffer memori yang dialokasikan, berpotensi memicu kerusakan, merusak data, atau bahkan memungkinkan eksekusi kode jarak jauh.
Apple sekarang telah membahas cacat nol hari ini di iOS 15.8.5 / 16.7.12, serta Ipados 15.8.5 / 16.7.12, dengan pemeriksaan batas yang ditingkatkan.
“Memproses file gambar berbahaya dapat mengakibatkan korupsi memori. Masalah penulisan yang tidak terikat ditangani dengan peningkatan batasan batasan,” kata perusahaan itu masuk Senin penasihat.
“Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi dalam serangan yang sangat canggih terhadap individu yang ditargetkan tertentu.”
Daftar perangkat yang dipengaruhi oleh kerentanan ini cukup luas, dengan bug yang mempengaruhi berbagai model yang lebih lama, termasuk:
- iPhone 6s (semua model), iPhone 7 (semua model), iPhone SE (generasi pertama), iPhone 8, iPhone 8 Plus, dan iPhone X,
- iPad Air 2, iPad Mini (generasi ke-4), iPad Generasi ke-5, iPad Pro 9.7-inch, iPad Pro 12.9-inci generasi pertama, dan iPod touch (generasi ke-7)
Pada akhir Agustus, WhatsApp menambal a kerentanan nol-klik (CVE-2025-55177) Pada klien pesan iOS dan MacOS-nya, yang dirantai dengan CVE-2025-43300 Apple dalam serangan yang ditargetkan yang digambarkan perusahaan sebagai “sangat canggih.”
Sementara Apple dan WhatsApp belum merilis detail apa pun tentang serangan yang merantai dua kerentanan, Donncha Ó Cearbhaill, kepala Lab Keamanan Amnesty International, dikatakan WhatsApp memperingatkan beberapa penggunanya bahwa perangkat mereka ditargetkan dalam kampanye Spyware tingkat lanjut.
Minggu lalu, Samsung juga menambal kerentanan eksekusi kode jarak jauh Dirantai dengan CVE-2025-55177 cacat WhatsApp dalam serangan nol-hari yang menargetkan perangkat Android-nya.
Dengan kerentanan ini, Apple memperbaiki enam hari nol yang dieksploitasi di alam liar pada tahun 2025: pertama di bulan Januari (CVE-2025-24085), yang kedua di bulan Februari (CVE-2025-24200), a ketiga di bulan Maret (CVE-2025-24201), dan Dua lagi di bulan April(CVE-2025-31200 dan CVE-2025-31201).
