Apple, şirketin hedefli ve “son derece sofistike” saldırılarda kullanıldığını söylediği sıfır gün güvenlik açığını yamalamak için acil durum güvenlik güncellemeleri yayınladı.
Şirket, iPhone ve iPad kullanıcılarını hedefleyen bir danışmanlıkta, “Fiziksel saldırı USB kısıtlı modu kilitli bir cihazda devre dışı bırakabilir.”
“Apple, bu sorunun belirli hedeflenen bireylere karşı son derece sofistike bir saldırıdan yararlanmış olabileceğine dair bir raporun farkında.”
Güvenlik açığı (CVE-2025-24200 olarak izlenir ve Citizen Lab’ın Bill Marczak tarafından bildirilmiştir), IOS 18.3.1 ve iPados 18.3.1’de iyileştirilmiş durum yönetimi ile ilgili bir yetkilendirme sorunudur.
Bu sıfır gün etkisi olan cihazların listesi şunları içerir:
- iPhone Xs ve daha sonra,
- iPad Pro 13-inç, iPad Pro 12.9 inç 3. nesil ve daha sonra, iPad Pro 11-inç 1. nesil ve daha sonra, iPad Air 3. Nesil ve daha sonra, iPad 7. Nesil ve daha sonra ve iPad Mini 5. Nesil ve daha sonra
Bu güvenlik açığı sadece hedeflenen saldırılarda kullanılmış olsa da, potansiyel olarak devam eden saldırı girişimlerini engellemek için bugünün güvenlik güncellemelerini derhal kurmanız çok tavsiye edilir.
Apple henüz vahşi sömürü hakkında daha fazla bilgi vermemiş olsa da, Citizen Lab güvenlik araştırmacıları genellikle gazeteciler, muhalefet politikacıları ve muhalifler gibi yüksek riskli bireylere yönelik hedeflenen casus yazılım saldırılarında kullanılan sıfır günleri açıklamışlardır.
Citizen Lab, Eylül 2023’te acil durum güvenlik güncellemelerine sabitlenen ve tam olarak enfekte etmek için sıfır tıkalı istismar zincirinin (dublajlı blastpass) bir parçası olarak istismar edilen iki sıfır gün (CVE-2023-41061 ve CVE-2023-41064) daha fazla açıkladı. NSO Group’un Pegasus ticari casus yazılımları ile iPhone’lar.
Geçen ay, Apple bu yılki ilk sıfır gün güvenlik açığı (CVE-2025-24085) iPhone kullanıcılarına yönelik saldırılarda kullanılmış olarak etiketlendi.
2024’te şirket, altı aktif olarak sömürülen sıfır günleri yamaladı: ilk Ocak ayında, ikisi Mart ayında, Mayıs ayında dördüncü ve Kasım ayında iki tane daha.
Bir yıl önce, 2023’te Apple, vahşi doğada sömürülen 20 sıfır günlük kusuru yamaladı: