Apple Pazartesi günü, vahşi doğada aktif olarak sömürülen yakın zamanda yamalı bir güvenlik kusuru için düzeltmeler yaptı.
Söz konusu güvenlik açığı, Imageio bileşeninde kötü amaçlı bir görüntü dosyası işlenirken bellek bozulmasına neden olabilecek sınır dışı bir yazma sorunu olan CVE-2025-43300’dir (CVSS skoru: 8.8).
Şirket, “Apple, bu sorunun belirli hedeflenen bireylere karşı son derece sofistike bir saldırıdan yararlanmış olabileceğine dair bir raporun farkında.” Dedi.
O zamandan beri WhatsApp, Apple iOS ve macOS için mesajlaşma uygulamalarında bir güvenlik açığının (CVE-2025-55177, CVSS skoru: 5.4), 200’den az kişiye yönelik yüksek düzeyde hedeflenen casus yazılım saldırılarının bir parçası olarak CVE-2025-43300 ile zincirlendiğini kabul etti.
Eksiklik ilk olarak iPhone üreticisi tarafından geçen ayın sonlarında iOS 18.6.2 ve iPados 18.6.2, iPados 17.7.10, MacOS Ventura 13.7.8, MacOS Sequoia 15.7.8 ve MacOS Sequoia 15.6.1’in piyasaya sürülmesiyle ele alınırken, aşağıdaki eski versiyonlar için de piyasaya sürüldü.
- iOS 16.7.12 ve iPados 16.7.12 -iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. Nesil, iPad Pro 9.7 inç ve iPad Pro 12.9 inç 1. nesil
- iOS 15.8.5 ve iPados 15.8.5 – iPhone 6S (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad Mini (4. Nesil) ve iPod Touch (7. Nesil)
Güncellemeler, iOS 26, iPados 26, iOS 18.7, iPados 18.7, MacOS Tahoe 26, MacOS Sequoia 15.7, MacOS Sonoma 14.8, TVOS 26, Visionos 26, Watchos 26, Safari 26 ve XCODE 26 ile birlikte yayınlandı.
- CVE-2025-31255 – Iokit’te bir uygulamanın hassas verilere erişmesine izin verebilecek bir yetkilendirme kırılganlığı
- CVE-2025-43362 – Bir uygulamanın kullanıcı izni olmadan tuş vuruşlarını izlemesine izin verebilecek lansman hizmetlerinde bir güvenlik açığı
- CVE-2025-43329 – Sandbox’ta bir uygulamanın kum havuzundan çıkmasına izin verebilecek bir izin güvenlik açığı
- CVE-2025-31254 – Safari’de kötü niyetli bir şekilde hazırlanmış web içeriğini işlerken beklenmedik URL yeniden yönlendirilmesine neden olabilecek bir güvenlik açığı
- CVE-2025-43272 – Webkit’te, kötü niyetli hazırlanmış web içeriğini işlerken beklenmedik safari çökmesine neden olabilecek bir güvenlik açığı
- CVE-2025-43285 – AppSandbox’ta bir uygulamanın korunan kullanıcı verilerine erişmesine izin verebilecek bir izin güvenlik açığı
- CVE-2025-43349 -Coreaudio’da, kötü niyetli bir video dosyası işlenirken beklenmedik uygulama fesihine neden olabilecek bir yük yazma sorunu
- CVE-2025-43316 – Bir uygulamanın kök ayrıcalıkları kazanmasına izin verebilecek diskarbitasyonda izinlerin kırılganlığı
- CVE-2025-43297 -Güç yönetiminde bir hizmet reddi ile sonuçlanabilecek bir karışıklık güvenlik açığı
- CVE-2025-43204 – RemoteViewServices’de bir uygulamanın kum havuzundan çıkmasına izin verebilecek bir güvenlik açığı
- CVE-2025-43358 – Kısayollarda bir kısayolun kum havuzu kısıtlamalarını atlamasına izin verebilecek bir izin güvenlik açığı
- CVE-2025-43333 – Spot ışığında bir uygulamanın kök ayrıcalıkları kazanmasına izin verebilecek bir izin güvenlik açığı
- CVE-2025-43304 – StorageKit’te bir uygulamanın kök ayrıcalıkları kazanmasına izin verebilecek bir yarış koşulu güvenlik açığı
- CVE-2025-48384 – Xcode’da, kötü niyetli bir depoyu klonlarken uzaktan kod yürütmesine neden olabilecek bir git güvenlik açığı
Yukarıda belirtilen kusurlardan herhangi birinin gerçek dünya saldırılarında silahlandırıldığına dair bir kanıt olmasa da, optimal koruma için sistemleri güncel tutmak her zaman iyi bir uygulamadır.