Apple heeft met iOS 18.6.2 en iPadOS 18.6.2 een kritiek beveiligingslek gedicht dat al actief misbruikt werd op kleine schaal.
Hackers kunnen een tot voor kort onbekend beveiligingsprobleem in iOS en iPadOS misbruiken via een gemanipuleerd afbeeldingsbestand. Apple lanceert met versie 18.6.2 een patch uit die het probleem verhelpt.
De kwetsbaarheid situeert zich in ImageIO. Dat is een systeemcomponent die instaat voor de verwerking van beeldbestanden. Een speciaal voor dat doel geprepareerd bestand kan het geheugen manipuleren door een zogenaamde ‘out-of-bounds write’. Daarbij overschrijft een bestand geheugenlocaties buiten de toegestane grenzen, wat potentieel misbruik toelaat. De bug maakt het kort door de bocht mogelijk om het systeem te misleiden eigen malafide code uit te voeren.
Apple geeft aan op de hoogte te zijn van een rapport waarbij het lek mogelijk werd misbruikt in een gerichte aanval tegen specifieke personen. Hackers van bijvoorbeeld natiestaten gebruiken wel vaker ongekende zero day-bugs om gerichte spionage-aanvallen op te zetten.
Dringende update
Het beveiligingslek krijgt het label CVE-2025-43300. Apple zegt dat het probleem werd verholpen door via een update strengere controles te implementeren bij de verwerking van afbeeldingsgegevens.
De update is beschikbaar voor iPhone XS en later, en voor diverse iPad-modellen: onder meer de iPad Pro vanaf de derde generatie (12,9-inch) of eerste generatie (11-inch), iPad Air vanaf de derde generatie, iPad vanaf de zevende generatie en iPad mini vanaf de vijfde generatie.
Apple lanceert niet alleen een patch voor iOS 18.6.2 en iPadOS 18.6.2. De kwetsbaarheid werd ook verholpen in andere Apple-besturingssystemen. Updates zijn beschikbaar voor macOS Ventura (13.7.8), macOS Sonoma (14.7.8), macOS Sequoia (15.6.1) en iPadOS 17.7.10.
Voor gebruikers van getroffen toestellen is het aangeraden de nieuwste updates zo snel mogelijk te installeren om het risico op misbruik te vermijden.