Η Apple κυκλοφόρησε ενημερώσεις έκτακτης ανάγκης για την επείγουσα ασφάλεια για να επιδιορθώσει δύο ευπάθειες μηδενικής ημέρας που χρησιμοποιήθηκαν σε μια “εξαιρετικά εξελιγμένη επίθεση” εναντίον συγκεκριμένων στόχων iPhones.
Τα δύο τρωτά σημεία βρίσκονται στο CoreAudio (CVE-2025-31200) και RPAC (CVE-2025-31201), με τα δύο σφάλματα να επηρεάζουν τα iOS, MacOS, TVOS, iPados και VisionOs.
“Η Apple έχει επίγνωση μιας έκθεσης ότι αυτό το ζήτημα μπορεί να έχει εκμεταλλευτεί σε μια εξαιρετικά εξελιγμένη επίθεση εναντίον συγκεκριμένων στοχευμένων ατόμων στο iOS”, αναφέρει ένα Δελτίο ασφαλείας της Apple κυκλοφόρησε σήμερα.
Το ελάττωμα CVE-2025-31200 στο Coreaudio ανακαλύφθηκε από την Apple και την ομάδα ανάλυσης απειλών Google. Μπορεί να εκμεταλλευτεί με την επεξεργασία μιας ροής ήχου σε ένα κακόβουλο αρχείο πολυμέσων για την εκτέλεση απομακρυσμένου κώδικα στη συσκευή.
Η εταιρεία καθόρισε επίσης το CVE-2025-31201, το οποίο ανακάλυψε η Apple. Πρόκειται για ένα σφάλμα στο RPAC που επιτρέπει στους εισβολείς με πρόσβαση ανάγνωσης ή εγγραφής στον έλεγχο ταυτότητας δείκτη παράκαμψης (PAC), ένα χαρακτηριστικό ασφαλείας iOS που βοηθά στην προστασία από τα ευπάθειας της μνήμης.
Η Apple δεν μοιράστηκε περισσότερες λεπτομέρειες σχετικά με τον τρόπο με τον οποίο τα ελαττώματα εκμεταλλεύτηκαν σε επιθέσεις. Ο BleepingComputer ήρθε σε επαφή με την Apple και την Google με ερωτήσεις σχετικά με τις ατέλειες, αλλά δεν έχει λάβει απάντηση.
Και τα δύο τρωτά σημεία διορθώθηκαν iOS 18.4.1, iPados 18.4.1, TVOS 18.4.1, MacOS Sequoia 15.4.1, VisionOS 2.4.1.
Ο κατάλογος των συσκευών που επηρεάζονται από αυτές τις μηδενικές ημέρες είναι εκτεταμένη, επηρεάζοντας παλαιότερα και νεότερα μοντέλα:
- iPhone XS και αργότερα
- Το iPad Pro 13 ιντσών, το iPad Pro 13,9 ιντσών 3η γενιά και αργότερα, το iPad Pro 11 ιντσών 1η γενιά και αργότερα, το iPad Air 3η γενιά και αργότερα, το iPad 7th Generation και αργότερα, και το iPad Mini 5th Generation και αργότερα
- macos sequoia
- Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
- Apple Vision Pro
Παρόλο που αυτές οι ατέλειες μηδενικής ημέρας εκμεταλλεύτηκαν σε εξαιρετικά στοχοθετημένες επιθέσεις, οι χρήστες εξακολουθούν να συμβουλεύονται έντονα να τις εγκαταστήσουν το συντομότερο δυνατό.
Με αυτά τα τρωτά σημεία, η Apple έχει καθορίσει πέντε μηδενικές ημέρες από την αρχή του έτους, το πρώτο τον Ιανουάριο (CVE-2025-24085), το δεύτερο τον Φεβρουάριο (CVE-2025-24200) και το τρίτο τον Μάρτιο (CVE-2025-24201).
VIA: bleepingcomputer.com
