Az Apple végre befoltozza a tíz éve tátongó iOS-biztonsági rést

Az Apple a héten kiadott frissítésekben javította az iOS-t és a macOS-t is egy olyan, több mint tíz éve kihasználható biztonsági rést, amelyet vélhetően célzott támadások során használtak fel kereskedelmi kémszoftverek fejlesztői. A most javított sebezhetőség miatt a támadók érzékeny adatokhoz férhettek hozzá, szolgáltatásmegtagadást (DoS) idézhettek elő, tetszőleges fájlokat írhattak a rendszerbe, emelt jogosultságot szerezhettek, lehallgathatták a hálózati forgalmat, kibújhattak a szoftveres izoláció alól, vagy éppen saját kódot futtathattak a készülékeken.

Egy évtizede nyitva állt az ajtó

A hibát, amelyet memóriakezelési problémaként írnak le, az Apple munkatársai és a Google fenyegetéselemzői egymástól függetlenül azonosították. A sebezhetőséget összefüggésbe hozták más, tavaly decemberben javított, szintén nulladik napi (zero-day) hibákkal (CVE-2025-14174, CVE-2025-43529). Ezekről is feltételezik, hogy kémprogramokat árusító cégek kihasználták.

Nemcsak az Apple volt védtelen

Az említett CVE-2025-14174 egy régi Chrome-hiba volt. Mivel a Chrome és a Safari eredetileg közös alapokra épültek, ez azt jelentheti, hogy mindkét böngésző sebezhető volt az elmúlt tíz év során, csupán eddig senki sem javította ki. A javítás tehát egy súlyos informatikai veszélyforrást szüntetett meg, amely jó eséllyel évekig feltérképezetlen támadási felületet jelentett világszerte.

2025, adrienne, apple.slashdot.org alapján

Share on Social Media