Apple, belirli hedeflerin iPhone’larına karşı “son derece sofistike bir saldırıda” kullanılan iki sıfır günlük güvenlik açıklarını yamalamak için acil durum güvenlik güncellemeleri yayınladı.
İki güvenlik açığı Coreaudio (CVE-2025-31200) ve RPAC (CVE-2025-31201), her iki hata da iOS, macOS, TVOS, iPados ve Visiono’lardır.
“Apple, bu sorunun iOS’taki belirli hedeflenen bireylere karşı son derece sofistike bir saldırıdan yararlanmış olabileceğine dair bir raporun farkındadır.”
Coreaudio’daki CVE-2025-31200 kusuru Apple ve Google Tehdit Analiz ekibi tarafından keşfedildi. Cihazda uzaktan kodu yürütmek için kötü niyetli bir medya dosyasında bir ses akışı işleyerek kullanılabilir.
Şirket ayrıca Apple’ın keşfettiği CVE-2025-31201’i de düzeltti. RPAC’da, bellek güvenlik açıklarına karşı korunmaya yardımcı olan bir iOS güvenlik özelliği olan Bypass işaretçisi kimlik doğrulamasına (PAC) okunan veya yazma saldırganlarına izin veren bir hatadır.
Apple, kusurların saldırılarda nasıl kullanıldığına dair daha fazla ayrıntı paylaşmadı. BleepingComputer, Apple ve Google’a kusurlarla ilgili sorularla temasa geçti, ancak yanıt almadı.
Her iki güvenlik açıkları iOS 18.4.1, iPados 18.4.1, TVOS 18.4.1, MacOS Sequoia 15.4.1 ve Visionos 2.4.1’de sabitlendi.
Bu sıfır günlerden etkilenen cihazların listesi geniş, eski ve yeni modelleri etkiliyor:
- iPhone Xs ve daha sonra
- iPad Pro 13-inç, iPad Pro 13.9 inç 3. nesil ve daha sonra, iPad Pro 11-inç 1. nesil ve daha sonra, iPad Air 3. Nesil ve daha sonra, iPad 7. Nesil ve daha sonra ve iPad Mini 5. Nesil ve daha sonra
- MacOS Sequoia
- Apple TV HD ve Apple TV 4K (tüm modeller)
- Apple Vision Pro
Bu sıfır gün kusurları yüksek hedefli saldırılarda kullanılmış olsa da, kullanıcılara mümkün olan en kısa sürede kurmaları şiddetle tavsiye edilir.
Bu güvenlik açıkları ile Apple, yıl başından beri beş sıfır gün, birincisi Ocak ayında (CVE-2025-24085), ikincisi Şubat ayında (CVE-2025-24200) ve üçüncüsü Mart ayında (CVE-2025-24201) sabitledi.