اپل آسیب‌پذیری روز صفر CVE-2025-43300 را در iOS، iPadOS و macOS که در حملات هدفمند مورد بهره‌برداری قرارگرفته بود، وصله کرد.

اپل اپل به‌روزرسانی‌های امنیتی را برای رفع یک نقص امنیتی که iOS، iPadOS و macOS را تحت تأثیر قرار می‌دهد و گفته می‌شود که به‌طور فعال مورد بهره‌برداری قرارگرفته است، منتشر کرده است.

این آسیب‌پذیری نوشتن خارج از محدوده روز صفر، که با شناسه CVE-2025-43300 (امتیاز ۸٫۸ در CVSS) ردیابی می‌شود[۱]، در چارچوب ImageIO قرار دارد[۲] که می‌تواند منجر به تخریب حافظه هنگام پردازش یک تصویر مخرب شود.

این شرکت در یک توصیه‌نامه اعلام کرد: «اپل از گزارشی مبنی بر اینکه این مشکل ممکن است در یک حمله بسیار پیچیده علیه افراد خاص مورد بهره‌برداری قرارگرفته باشد، آگاه است.»

این سازنده آیفون اعلام کرد که این اشکال به‌طور داخلی کشف‌شده و با بررسی مرزهای بهبودیافته برطرف شده است. نسخه‌های زیر این نقص امنیتی را برطرف می‌کنند:

• iOS 18.6.2 و iPadOS 18.6.2 – آیفون XS و بالاتر، آیپد پرو ۱۳ اینچی، آیپد پرو ۱۲.۹ اینچی نسل سوم و بالاتر، آیپد پرو ۱۱ اینچی نسل اول و بالاتر، آیپد ایر نسل سوم و بالاتر، آیپد نسل هفتم و بالاتر، و آیپد مینی نسل پنجم و بالاتر
• iPadOS 17.7.10 – آیپد پرو ۱۲.۹ اینچی نسل دوم، آیپد پرو ۱۰.۵ اینچی و آیپد نسل ششم
• macOS Ventura 13.7.8 – مک‌های دارای macOS Ventura
• macOS Sonoma 14.7.8 – مک‌های دارای macOS Sonoma
• macOS Sequoia 15.6.1 – مک‌های دارای macOS Sequoia

در حال حاضر مشخص نیست چه کسی پشت این حملات است و چه کسی ممکن است هدف قرارگرفته باشد، اما احتمالاً این آسیب‌پذیری به‌عنوان بخشی از یک حمله بسیار هدفمند مورداستفاده قرارگرفته است.

 

با آخرین به‌روزرسانی، اپل تاکنون درمجموع هفت آسیب‌پذیری روز صفر را که از ابتدای سال در حملات دنیای واقعی مورد بهره‌برداری قرارگرفته‌اند، برطرف کرده است: [۳]CVE-2025-24085، [۴]CVE-2025-24200، CVE-[5]2025-24201، CVE-2025-31200، [۶]CVE-2025-31201 و [۷]CVE-2025-43200.

ماه گذشته، این شرکت همچنین وصله‌هایی را برای یک آسیب‌پذیری سافاری که در یک مؤلفه متن‌باز (CVE-2025-6558) قرار دارد[۸] و گوگل گزارش داده است که به‌عنوان یک آسیب‌پذیری روز صفر در مرورگر وب کروم مورد بهره‌برداری قرارگرفته است، منتشر کرد.

 

منابع

[۱] https://nvd.nist.gov/vuln/detail/CVE-2025-43300

[۲] https://developer.apple.com/documentation/imageio

[۳] https://thehackernews.com/2025/01/apple-patches-actively-exploited-zero.html

[۴] https://apa.aut.ac.ir/?p=11053

[۵] https://thehackernews.com/2025/03/apple-releases-patch-for-webkit-zero.html

[۶] https://thehackernews.com/2025/04/apple-patches-two-actively-exploited.html

[۷] https://thehackernews.com/2025/06/apple-zero-click-flaw-in-messages.html

[۸] https://apa.aut.ac.ir/?p=11480

[۹] https://thehackernews.com/2025/08/apple-patches-cve-2025-43300-zero-day.html