Cve-2025-43300

A Apple anunciou a correção de uma vulnerabilidade crítica (CVE-2025-43300) em seu componente ImageIO, que permite a corrupção de memória ao processar arquivos de imagem maliciosos. Com uma pontuação CVSS de 8.8, essa falha foi identificada como parte de ataques sofisticados direcionados a menos de 200 indivíduos. Além disso, a WhatsApp confirmou que uma vulnerabilidade em seus aplicativos para iOS e macOS (CVE-2025-55177, CVSS 5.4) foi encadeada com a falha da Apple, potencializando os riscos de espionagem. As atualizações de segurança foram disponibilizadas para várias versões do iOS e macOS, incluindo versões mais antigas, visando proteger dispositivos como iPhone 8, iPhone 6s e iPad Air 2. Embora não haja evidências de que as falhas tenham sido amplamente exploradas, a Apple recomenda que os usuários mantenham seus sistemas atualizados para garantir a proteção. Além da correção das vulnerabilidades mencionadas, a atualização também aborda outras falhas de segurança em componentes como Safari e WebKit, que poderiam permitir acesso não autorizado a dados sensíveis e causar falhas inesperadas no sistema.

Recentemente, a Apple lançou um patch de segurança para uma vulnerabilidade crítica identificada como CVE-2025-43300, que afeta o processamento de imagens em dispositivos iOS e macOS. Essa falha permite a execução remota de código (RCE) sem interação do usuário, simplesmente ao visualizar uma imagem maliciosa. O problema se origina de uma discrepância entre os metadados declarados em arquivos TIFF/DNG e a contagem real de componentes nos fluxos JPEG Lossless, resultando em uma condição de escrita fora dos limites de memória. A Apple confirmou que a exploração dessa vulnerabilidade já foi observada em ataques direcionados, o que destaca sua gravidade. As versões afetadas incluem iOS 18.6.2, macOS Sequoia 15.6.1, entre outras. Especialistas recomendam que usuários e administradores apliquem as atualizações imediatamente, e ferramentas como ELEGANT BOUNCER foram desenvolvidas para detectar inconsistências em arquivos DNG, ajudando a prevenir a exploração. A complexidade dos padrões de imagem utilizados pela Apple é um lembrete de que a segurança pode ser comprometida por falhas em sistemas aparentemente robustos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica da Apple em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-43300, afeta iOS, iPadOS e macOS, permitindo que atacantes executem código arbitrário ou provoquem falhas no sistema. Essa vulnerabilidade é classificada como uma escrita fora dos limites (CWE-787) dentro do framework Image I/O, que é responsável pelo processamento de dados de imagem nos sistemas da Apple. A exploração pode ocorrer através de arquivos de imagem maliciosos enviados por e-mail ou acessados em sites comprometidos. A CISA recomenda que as organizações apliquem as correções fornecidas pela Apple e monitorem atividades suspeitas relacionadas ao processamento de arquivos de imagem. A inclusão dessa vulnerabilidade no catálogo KEV indica que é uma preocupação de segurança de alta prioridade, exigindo atenção imediata das equipes de segurança em todos os setores.

A Apple lançou um patch de segurança para corrigir uma falha de zero-day identificada como CVE-2025-43300, que afeta dispositivos com iOS e iPadOS. Essa vulnerabilidade, que permite a execução remota de código, foi explorada em ataques sofisticados direcionados a indivíduos específicos. O problema reside em um erro de escrita fora dos limites no framework ImageIO, que gerencia arquivos de imagem. A falha possibilita que imagens maliciosas enviadas por e-mail ou mensagens causem corrupção de memória, levando a possíveis crashes ou execução de malware. A Apple implementou melhorias nos checagens de limites nas versões iOS 18.6.2 e iPadOS 18.6.2, entre outras atualizações. É importante que os usuários atualizem seus dispositivos imediatamente, pois há evidências de que a vulnerabilidade está sendo explorada ativamente. A falha afeta uma ampla gama de dispositivos, incluindo iPhones a partir do modelo XS e diversos modelos de iPads. Este é o sexto zero-day corrigido pela Apple em 2025, destacando a necessidade de vigilância constante em relação à segurança dos dispositivos.

A Apple lançou atualizações de segurança para corrigir uma vulnerabilidade crítica, identificada como CVE-2025-43300, que afeta iOS, iPadOS e macOS. Essa falha, que permite a escrita fora dos limites no framework ImageIO, pode resultar em corrupção de memória ao processar imagens maliciosas. A empresa informou que a vulnerabilidade está sendo ativamente explorada em ataques sofisticados direcionados a indivíduos específicos. As versões afetadas incluem iOS 18.6.2, iPadOS 18.6.2, macOS Ventura 13.7.8, entre outras. A Apple já corrigiu um total de sete zero-days em 2025, evidenciando a gravidade da situação. Embora não se saiba quem está por trás dos ataques, a vulnerabilidade foi considerada uma ferramenta em ataques altamente direcionados. A empresa recomenda que todos os usuários atualizem seus dispositivos imediatamente para mitigar os riscos associados a essa falha.