Apple hitno zakrpao kritičnu ranjivost - ugroženi milijuni korisnika iPhonea i Macova

Apple je početkom tjedna objavio hitne sigurnosne nadogradnje za sve svoje glavne platforme nakon što je otkriven ozbiljan sigurnosni propust koji je, kako tvrdi tvrtka, već iskorišten u ciljanima napadima. Nova zakrpa, označena kao CVE-2025-43300, pogađa ImageIO okvir – komponentu zaduženu za obradu slikovnih datoteka u iOS-u, iPadOS-u i macOS-u.

Problem je izuzetno rizičan jer omogućava napadačima da pomoću posebno oblikovane slike izazovu oštećenje memorije na uređaju, što otvara mogućnost izvršavanja zlonamjernog koda bez znanja korisnika. Drugim riječima, dovoljno je da meta zaprimi sliku putem e-maila, poruke ili web sadržaja – i sigurnost uređaja može biti kompromitirana.

Apple je u svojem službenom sigurnosnom blogu naglasio kako je ranjivost "vjerojatno iskorištena u vrlo sofisticiranim napadima usmjerenima na odabrane pojedince", što sugerira da se radi o tzv. zero-day ranjivosti visoke razine opasnosti. Takvi napadi obično ciljaju novinare, aktiviste, poslovne lidere ili državne službenike, no rizik po širu bazu korisnika je i dalje značajan dokle god se uređaji ne ažuriraju.

Specifičnost problema leži u tome što ImageIO radi „u pozadini“ kod gotovo svih Appleovih aplikacija i servisa. To znači da slika primljena putem iMessagea, Maila ili Safari preglednika može postati ulazna točka za napad. Upravo ta sveprisutnost čini ranjivost posebno opasnom. Apple ističe da je problem riješen poboljšanom provjerom granica memorije, a propust je otkrio njihov interni sigurnosni tim.

Prema izvještajima sigurnosnog portala BleepingComputer, ovo je već šesta zero-day ranjivost koju je Apple morao zakrpati od početka godine. S obzirom na to da su se slične situacije ponavljale gotovo svakog mjeseca, očito je da kibernetički napadi na mobilne uređaje i računala dosežu novu razinu intenziteta i sofisticiranosti. To dodatno naglašava pritisak na proizvođače da kontinuirano jačaju sigurnosne mehanizme te da nadogradnje postanu svakodnevica korisnika.

Apple je ovaj put zakrpu učinio dostupnom ne samo za najnovije inačice sustava poput iOS-a 18.6.2 i macOS-a Sequoia 15.6.1, nego i za starije verzije, uključujući iPadOS 17.7.10 te macOS Sonoma 14.7.8 i Ventura 13.7.8. Pokriveni su iPhone modeli od XS generacije nadalje, iPad Pro treće generacije, iPad Air treće generacije te svi modeli iPada od sedme generacije.

To znači da praktički svaki aktivni Appleov uređaj trenutno na tržištu zahtijeva instalaciju hitne zakrpe. Instalacija je jednostavna preko uobičajenog izbornika Settings > General > Software Update na mobilnim uređajima te System Settings > General > Software Update na Mac računalima.

Razlog leži u činjenici da je ranjivost već korištena u stvarnim napadima. Kod tzv. tehničkog duga sigurnosnih propusta, razlika između objave zakrpe i stvarnog ažuriranja kod korisnika može trajati tjednima ili čak mjesecima. U tom vremenskom razmaku hakeri ciljaju one koji nisu reagirali na vrijeme. Za krajnje korisnike to znači jasan izbor: ili odmah instalirati nadogradnju ili svjesno riskirati kompromitaciju osjetljivih podataka poput lozinki, financijskih informacija i komunikacije.

Appleov hitan potez pokazuje koliko je složeno održavati sigurnost digitalnih ekosustava koji obuhvaćaju milijarde uređaja. Unatoč snažnim internim timovima i proaktivnom pristupu, brojke pokazuju da zero-day ranjivosti ostaju nezaobilazan izazov. Za korisnike to znači jedno – redovito ažuriranje više nije preporuka, već obavezna sigurnosna praksa.