Apple op maandag backported fixes voor een recent gepatchte beveiligingsfout die actief is uitgebuit in het wild.
De kwetsbaarheid in kwestie is CVE-2025-43300 (CVSS-score: 8.8), een probleem met de buitengerechten in de afbeeldingcomponent die kan leiden tot geheugencorruptie bij het verwerken van een kwaadaardig beeldbestand.
“Apple is zich bewust van een rapport dat deze kwestie mogelijk is benut in een extreem geavanceerde aanval op specifieke gerichte personen,” zei het bedrijf.
Sindsdien heeft WhatsApp erkend dat een kwetsbaarheid in zijn berichten-apps voor Apple iOS en MacOS (CVE-2025-55177, CVSS-score: 5.4) was geketend met CVE-2025-43300 als onderdeel van zeer gerichte spyware-aanvallen gericht op minder dan 200 individuen.
Terwijl de tekortkoming eind vorige maand voor het eerst werd aangepakt door de iPhone Maker met de release van iOS 18.6.2 en iPados 18.6.2, iPados 17.7.10, MacOS Ventura 13.7.8, MacOS Sonoma 14.7.8 en MacOS Sequoia 15.6.1, het is ook uitgebracht voor de volgende oudere versies – –
- iOS 16.7.12 en iPados 16.7.12 -iPhone 8, iPhone 8 Plus, iPhone X, iPad 5e generatie, iPad Pro 9,7-inch en iPad Pro 12,9-inch 1e generatie
- iOS 15.8.5 en iPados 15.8.5 – iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad Mini (4e generatie) en iPod Touch (7e generatie)
De updates zijn uitgerold naast iOS 26, iPados 26, iOS 18.7, iPados 18.7, MacOS Tahoe 26, MacOS Sequoia 15.7, MacOS Sonoma 14.8, TVOS 26, Visionos 26, WatchOS 26, Safari 26 en Xcode 26, die ook een aantal andere beveiligingsfouten aanpakken – –
- CVE-2025-31255 – Een autorisatie -kwetsbaarheid in Iokit waarmee een app toegang heeft tot gevoelige gegevens
- CVE-2025-43362 – Een kwetsbaarheid in lanceringservices waarmee een app in staat zou kunnen zijn om toetsaanslagen te controleren zonder toestemming van de gebruiker
- CVE-2025-43329 – Een machtigingskwetsbaarheid in Sandbox waarmee een app uit zijn sandbox kan breken
- CVE-2025-31254 – Een kwetsbaarheid in safari die kan leiden tot onverwachte URL -omleiding bij het verwerken van kwaadwillige webinhoud
- CVE-2025-43272 – Een kwetsbaarheid in WebKit die kan leiden tot onverwachte safari -crash bij het verwerken van kwaadwillige werkinhoud
- CVE-2025-43285 – Een machtigingskwetsbaarheid in Appsandbox waarmee een app toegang heeft tot beschermde gebruikersgegevens
- CVE-2025-43349 -Een on-bound-schrijfprobleem in coreaudio dat zou kunnen leiden tot onverwachte app-beëindiging bij het verwerken van een kwaadwillig vervaardigd videobestand
- CVE-2025-43316 – Een kwetsbaarheid van machtigingen in diskarbitrage waarmee een app kan worden gekregen
- CVE-2025-43297 -Een kwetsbaarheid van het type verwarring in energiebeheer die kan leiden tot een Denial-of-Service
- CVE-2025-43204 – Een kwetsbaarheid in RemoteViewServices waarmee een app uit zijn sandbox kan breken
- CVE-2025-43358 – Een kwetsbaarheid van machtigingen in snelkoppelingen die een snelkoppeling kunnen mogelijk maken om sandbox -beperkingen te omzeilen
- CVE-2025-43333 – Een machtigingskwetsbaarheid in de schijnwerpers waarmee een app kan krijgen om rootprivileges te krijgen
- CVE-2025-43304 – Een kwetsbaarheid van de raceconditie in StorageKit waarmee een app kan worden gekregen tot wortelrechten
- CVE-2025-48384 – Een GIT -kwetsbaarheid in Xcode die kan leiden tot externe code -uitvoering bij het klonen van een kwaadwillig vervaardigde repository
Hoewel er geen bewijs is dat een van de bovengenoemde fouten is bewapend in real-world aanvallen, is het altijd een goede gewoonte om systemen up-to-date te houden voor optimale bescherming.
