Apple murakkab nishonli hujumlarda faol foydalanilgan ikki iOS zaifligini bartaraf etdi.
1
45
0
Apple chorshanba kuni iOS, iPadOS, macOS Sequoia, tvOS va visionOS tizimlari uchun xavfsizlik yangilanishlarini chiqardi. Ushbu yangilanishlar oddiy holatda faol eksploit qilinayotgan ikki zaiflikni bartaraf etishga qaratilgan.
Mazkur zaifliklar quyidagilar:
CVE-2025-31200 (CVSS bahosi: 7.5) — Core Audio freymuorkidagi xotira buzilishi zaifligi boʻlib, u zararli tarzda yaratilgan media fayl orqali audio oqimini qayta ishlashda kod bajarilishiga olib kelishi mumkin.
CVE-2025-31201 (CVSS bahosi: 6.8) — RPAC komponentidagi zaiflik boʻlib, hujumchiga Pointer Authentication (ko‘rsatkich tasdiqlovi)dan chetlanib oʻtishga imkon beradigan ixtiyoriy oʻqish va yozish huquqidan foydalanish imkonini beradi.
Apple kompaniyasi CVE-2025-31200 zaifligini yaxshilangan chegaraviy tekshiruvlar (bounds checking) orqali, CVE-2025-31201 zaifligini esa xavfli kod qismini olib tashlash orqali bartaraf etganini maʼlum qildi.
Har ikki zaiflikni aniqlash va xabar berish uchun Apple bilan bir qatorda Google Threat Analysis Group (TAG) jamoasiga ham e’tirof bildirilgan.
Apple, odatdagidek bunday ogohlantirishlarda bo‘lgani kabi, bu muammolar “iOS tizimidagi aniq nishonga olingan shaxslarga qarshi nihoyatda murakkab hujumlar orqali eksploit qilingan” deb taʼkidladi.
Ushbu yangilanish bilan birga, Apple joriy yil boshidan beri o‘z dasturiy taʼminotida faol eksploit qilingan jami beshta nol kunlik (zero-day) zaiflikni bartaraf etdi:
CVE-2025-24085 (CVSS bahosi: 7.8) — Core Media komponentidagi use-after-free (foydalanilganidan keyin bo'shatilgan obyektga murojaat) xatoligi, zararli ilovaga qurilmada allaqachon o‘rnatilgan bo‘lsa, imtiyozlarni oshirish imkonini beradi.
CVE-2025-24200 (CVSS bahosi: 4.6) — Accessibility (kirish imkoniyati) komponentidagi tanitish muammosi, hujumchiga qurilma qulflangan bo‘lsa ham USB cheklov rejimini o‘chirib qo‘yish imkonini beradi (kiber-jismoniy hujum tarkibida).
CVE-2025-24201 (CVSS bahosi: 7.1) — WebKit komponentida out-of-bounds write (chegaradan tashqari yozuv) muammosi, zararli tarzda ishlab chiqilgan veb-kontent yordamida Web Content sandboxdan chiqishga imkon beradi.
Yangilanishlar quyidagi qurilmalar va operatsion tizimlar uchun mavjud:
iOS 18.4.1 va iPadOS 18.4.1 — iPhone XS va undan keyingi modellari, iPad Pro 13 dyuym, iPad Pro 13.9 dyuym (3-avlod va undan keyingi), iPad Pro 11 dyuym (1-avlod va undan keyingi), iPad Air (3-avlod va undan keyingi), iPad (7-avlod va undan keyingi), va iPad mini (5-avlod va undan keyingi).
macOS Sequoia 15.4.1 — macOS Sequoia operatsion tizimida ishlovchi barcha Mac qurilmalari.
tvOS 18.4.1 — Apple TV HD va Apple TV 4K (barcha modellari).
visionOS 2.4.1 — Apple Vision Pro.
Faol eksploit qilinayotgan zaifliklar fonida, foydalanuvchilarga qurilmalarini so‘nggi talqingacha yangilash tavsiya etiladi, bu ularni xavflardan himoya qilishga yordam beradi.
