Η Apple κυκλοφόρησε ενημερώσεις έκτακτης ανάγκης για να επιδιορθώσει δύο τρωτά σημεία zero-day που αξιοποιήθηκαν σε μια «εξαιρετικά εξελιγμένη επίθεση» που στοχεύει συγκεκριμένα άτομα.
Οι ημέρες μηδέν παρακολουθούνται ως CVE-2025-43529 και CVE-2025-14174 και εκδόθηκαν και οι δύο ως απόκριση στην ίδια αναφερόμενη εκμετάλλευση.
«Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης σε μια εξαιρετικά περίπλοκη επίθεση εναντίον συγκεκριμένων στοχευμένων ατόμων σε εκδόσεις του iOS πριν από το iOS 26», αναφέρει Δελτίο ασφαλείας της Apple.
Το CVE-2025-43529 είναι ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα στο WebKit, το οποίο μπορεί να εκμεταλλευτεί με την επεξεργασία κακόβουλα δημιουργημένου περιεχομένου ιστού. Η Apple λέει ότι το ελάττωμα ανακαλύφθηκε από το Threat Analysis Group της Google.
Το CVE-2025-14174 είναι ένα ελάττωμα καταστροφής της μνήμης WebKit που θα μπορούσε να οδηγήσει σε καταστροφή της μνήμης. Η Apple λέει ότι το ελάττωμα ανακαλύφθηκε τόσο από την Apple όσο και από το Threat Analysis Group της Google.
Οι συσκευές που επηρεάζονται και από τα δύο ελαττώματα περιλαμβάνουν:
-
iPhone 11 και μεταγενέστερα
-
iPad Pro 12,9 ιντσών (3ης γενιάς και μεταγενέστερη)
-
iPad Pro 11 ιντσών (1ης γενιάς και νεότερης γενιάς)
-
iPad Air (3ης γενιάς και μεταγενέστερη)
-
iPad (8ης γενιάς και μεταγενέστερη)
-
iPad mini (5ης γενιάς και μεταγενέστερη)
Την Τετάρτη, η Google διόρθωσε ένα μυστηριώδες ελάττωμα zero-day στο Google Chrome, αρχικά σήμανση είναι ως “[N/A][466192044] Υψηλό: Υπό συντονισμό.”
Ωστόσο, η Google έχει τώρα ενημέρωσε τη συμβουλευτική για να αναγνωρίσετε το σφάλμα ως “CVE-2025-14174: Πρόσβαση στη μνήμη εκτός ορίων στο ANGLE”, το οποίο είναι το ίδιο CVE που διορθώθηκε από την Apple, υποδεικνύοντας συντονισμένη αποκάλυψη μεταξύ των δύο εταιρειών.
Η Apple δεν έχει αποκαλύψει τεχνικές λεπτομέρειες σχετικά με τις επιθέσεις πέρα από το ότι στόχευαν άτομα που εκτελούσαν εκδόσεις του iOS πριν από το iOS 26.
Καθώς και τα δύο ελαττώματα επηρεάζουν το WebKit, το οποίο χρησιμοποιεί το Google Chrome στο iOS, η δραστηριότητα συνάδει με εξαιρετικά στοχευμένες επιθέσεις spyware.
Ενώ αυτά τα ελαττώματα χρησιμοποιήθηκαν μόνο σε στοχευμένες επιθέσεις, συνιστάται στους χρήστες να εγκαταστήσουν αμέσως τις πιο πρόσφατες ενημερώσεις ασφαλείας για να μειώσουν τον κίνδυνο συνεχιζόμενης εκμετάλλευσης.
Με αυτές τις επιδιορθώσεις, η Apple έχει πλέον επιδιορθώσει επτά ευπάθειες μηδενικής ημέρας που έγιναν αντικείμενο εκμετάλλευσης στη φύση το 2025, ξεκινώντας με το CVE-2025-24085 τον Ιανουάριο, το CVE-2025-24200 τον Φεβρουάριο, το CVE-2025-24201 τον Μάρτιο και δύο ακόμη τον Απρίλιο του 2020 και δύο ακόμη τον Απρίλιο (VE3-20 CVE-2025-31201).
Τον Σεπτέμβριο, η Apple ανέφερε επίσης μια επιδιόρθωση για μηδενική ημέρα παρακολούθησης ως CVE-2025-43300 σε παλαιότερες συσκευές με iOS 15.8.5 / 16.7.12 και iPadOS 15.8.5 / 16.7.12.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
