Apple brengt iOS-, iPadOS- en macOS-updates uit met fix voor zeroday

Apple heeft iOS 18.6.2, iPadOS 18.6.2 en macOS Sequoia 15.6.1 uitgebracht. Deze updates lossen een actief misbruikte memory corruption-kwetsbaarheid op.

Het gaat om de out-of-bounds-writekwetsbaarheid CVE-2025-43300, die zich bevindt in Apples Image I/O-api, die wordt gebruikt voor de verwerking van afbeeldingen op iPhones, iPads en Macs. Het was daardoor mogelijk om een memory corruption te veroorzaken door deze apparaten een malafide afbeelding te laten verwerken.

De kwetsbaarheid is volgens Apple in de praktijk misbruikt in 'uiterst geraffineerde aanvallen tegen specifieke personen', al wordt geen verdere informatie gegeven. Apple heeft de bug naar eigen zeggen opgelost door de bounds checking te verbeteren.

Door Kevin Krikhaar

Redacteur

Feedback • 21-08-2025 12:07
27 • submitter: protected22

21-08-2025 • 12:07

27

Submitter: protected22

Lees meer

Apple brengt iOS 18.4.1 uit met fix voor twee zerodays
Apple brengt iOS 18.4.1 uit met fix voor twee zerodays Nieuws van 17 april 2025
Apple dicht WebKit-zeroday in iOS, iPadOS en macOS
Apple dicht WebKit-zeroday in iOS, iPadOS en macOS Nieuws van 23 januari 2024
Kaspersky: iPhone-hackers misbruikten voorheen onbekende hardwarefunctie in soc
Kaspersky: iPhone-hackers misbruikten voorheen onbekende hardwarefunctie in soc Nieuws van 28 december 2023
Apple lost twee zerodays in iOS 17, iPadOS 17 en macOS op
Apple lost twee zerodays in iOS 17, iPadOS 17 en macOS op Nieuws van 1 december 2023
Apple fixt bug die aanvallers kwaadaardige code via tiff-bestand laat uitvoeren
Apple fixt bug die aanvallers kwaadaardige code via tiff-bestand laat uitvoeren Nieuws van 20 juli 2016
Meer producten en artikelen
Smartphones Laptops Tablets Apple iPhone iPad iOS Apple iPadOS Bugs macOS

Reacties (27)

-Moderatie-faq
27
27
16
4
0
10
Wijzig sortering

Sorteer op:

Weergave:
magatsu 21 augustus 2025 12:20
Het heeft wel heel veel weg van de CVE die deze maand in Windows is gepatched:
CVE-2025-50165
Railgunner 21 augustus 2025 16:41
Voor oudere iPads is deze fix doorgevoerd in iPadOS 17.7.10: https://support.apple.com/en-us/124926

Er is geen iOS 17.7.10 omdat alle iPhones die iOS 17 kunnen draaien, ook iOS 18 ondersteunen.
Bestseller 21 augustus 2025 14:34
Hoe zit het met devices zoals de Macbook Air’s van voor 2020? Die apparaten zijn nu 5-6 jaar oud. Genoeg mensen die ze nog gebruiken.

Maar macOS Sequoia ondersteunt deze devices niet meer. Blijven deze devices kwetsbaar?
SirLenncelot @Bestseller21 augustus 2025 14:49
macOS 13 en 14 hebben ook een update gekregen om deze kwetsbaarheid te patchen.

https://support.apple.com/en-us/100100
SterkeYerke @SirLenncelot21 augustus 2025 15:57
Interessant. iOS 15 heeft in maart dit jaar nog een patch gekregen, maar ik krijg nu geen update binnen. Dit lijkt ook te gelden voor iOS 16. Is dit dan toch het begin van het einde?

[Reactie gewijzigd door SterkeYerke op 21 augustus 2025 16:00]

Carlos0_0
@SterkeYerke21 augustus 2025 17:32
Hoezo zou dit gelden dan ook voor ios16?
SterkeYerke @Carlos0_021 augustus 2025 18:07
Omdat ook iOS 16 vandaag geen update heeft gekregen voor zover ik kan zien.
Carlos0_0
@SterkeYerke21 augustus 2025 18:16
Waarom zou die dan vatbaar voor dit lek moeten zijn, ios 17 en 18 is anders dan ios16 weer kwa code?.
Het draait ook nog eens op veel oudere hardware, de jongste een 8 plus / x(De rest kan allemaal ios18 draaien).

In jouw redenering zal ios 1 t/m 15 ook dit lek moeten hebben dan, aangezien er geen update uitgegeven is.
SterkeYerke @Carlos0_021 augustus 2025 18:43
Ik hoop zeker dat iOS 1 t/m 16 nergens last van hebben, maar het lijkt me waarschijnlijker dat Apple de ondersteuning heeft gestopt. De gepatchte MacOS-versies zijn ook de enige versies die nog ondersteuning krijgen, inclusief zelfs Intel-macs.
d3vlin @SterkeYerke21 augustus 2025 20:23
Lang leve Open Core Legacy Patcher. Het is fascinerend hoe goed en probleemloos de laatste MacOS-versie draait op Mac hardware die door Apple zelf al lang niet meer ondersteund wordt. Zoiets zou er ook voor iOS/iPadOS moeten zijn.

[Reactie gewijzigd door d3vlin op 21 augustus 2025 20:23]

SterkeYerke @d3vlin21 augustus 2025 21:28
Ja, die is me zeker bekend. In mijn evaring moet je wel zorgen dat je gpu Metal ondersteunt, want anders werken moderne MacOS-versies wel erg traag en soms ook glitchy. Maar een Mac Pro uit 2009 met GTX 680 werkt prima!
angulardragon03 @SirLenncelot21 augustus 2025 15:23
Dit. Apple doet dit niet voor alle versies (officieel beleid is dat alleen de nieuwste versie van de meest recente major versie de veiligste versie is), maar grote-impact CVEs worden meestal n-2 aangepakt.
Dreamvoid
@Bestseller21 augustus 2025 15:05
Normaal gesproken wel, daarom hang je die liever niet aan een internet-connected netwerk, of installeer je Linux.
xxs @Dreamvoid21 augustus 2025 15:13
Je kan eventueel ook naar OpenCore kijken om ook nieuwere macOS’en te kunnen installeren.
zanza006 @xxs21 augustus 2025 22:31
Ik heb 1 toestel waar opencore op draait.

Er zijn hier en daar wat bugs maar ik kan er om heen werken (oude vga die geen metal ondersteund)
angulardragon03 @Dreamvoid21 augustus 2025 15:29
Normaalgesproken niet. Alleen in beperkte gevallen krijgen n-1 en n-2 niet security patches voor bepaalde CVEs.
Note: Because of dependency on architecture and system changes to any current version of Apple operating systems (for example, macOS 15, iOS 18 and so on), not all known security issues are addressed in previous versions (for example, macOS 14, iOS 17 and so on).
https://support.apple.com/en-gb/guide/deployment/depc4c80847a/web
Dreamvoid
@angulardragon0321 augustus 2025 17:05
Hij heeft het niet over n-1 en n-2, maar oudere macOS versies.
beeldbuijs @Bestseller21 augustus 2025 15:10
Als ik het goed zie is er geen update voor de MacBook Air van vóór 2020, maar het zou prima kunnen dat dat die überhaupt niet kwetsbaar zijn, aangezien die op een andere cpu-architectuur, van Intel, draait.
r0y89 21 augustus 2025 13:20
Hoe moet ik dit voor me zien? Kan iemand bijvoorbeeld de zogenoemde malafide afbeelding via WhatsApp sturen en mijn telefoon dan bepaalde zaken laten uitvoeren?
bzzzt
@r0y8921 augustus 2025 13:38
Als het lek groot genoeg is kan dat. Gecomprimeerde afbeeldingen zijn inherent complex om te decoderen en vooral oudere libraries voldoen niet altijd even goed aan moderne veiligheids designs.

Bedenk wel dat je met zo'n lek nog niet gelijk alles kan, maar hooguit wat de rechten van de ontvangende app toelaten. Een goede reden om niet elke app standaard maar overal toegang toe te geven al vragen ze er wel vaak om. Veel apps zijn ook voorzien van extra functionaliteit om het inlezen van onvertrouwde content in een aparte procesruimte uit te voeren zodat dit soort issues nog lastiger te exploiteren wordt.
Dreamvoid
@bzzzt21 augustus 2025 15:04
Lastige is dat een applicatie als Whatsapp niet fatsoenlijk werkt als het geen toegang heeft tot je adresboek bv, en je fotos.
bzzzt
@Dreamvoid21 augustus 2025 16:10
Je kan in iOS prima selectief toegang tot een beperkte set foto's geven. Adresboek is dan misschien wat lastiger, maar voor een communicatieapp is dat wel te onderbouwen.
Falcon @r0y8921 augustus 2025 13:38
Zo lees ik het wel. Dus simpelweg updaten die hap :)
Keypunchie
@r0y8921 augustus 2025 13:42
In principe: ja. Het component dat de bug bevat is "ImageIO" wat een framework is dat heel veel apps zullen gebruiken voor het verwerken van plaatjes.

Dan is het domweg plaatje ontvangen en openen.

Maar de bewoording van Apple suggereert dat er wel wat meer bij komt kijken om het probleem echt uit te buiten. "Extremely sophisticated" geeft aan dat het "wilde geval" een natiestaat/geheime dienst is (en targeted individual betekent dan vaak: ontdekt bij een activist of onderzoeksjournalist). Ze hebben misschien een chain van exploits, of additionele informatie over het doelwit, waardoor ze de exploit kunnen uitbuiten.

Kortom: Dit is een "pegasus"-stijl exploit. nieuws: Pegasus-spyware trof elf Nederlanders en vier Belgen in 2019

Dus, voor nu hoef je nog geen zorgen te maken dat de gemiddelde ransomware bende dit kan inzetten. Maar wel snel updaten uiteraard.

[Reactie gewijzigd door Keypunchie op 21 augustus 2025 13:44]

Dennisdn
@r0y8921 augustus 2025 13:42
Bij de opmerking 'uiterst geraffineerde aanvallen tegen specifieke personen' denk ik eerder aan diensten als Pegasus of Cellebrite die het lek misbruikten.
turkeyhakan 21 augustus 2025 12:43
Zit deze update ook in de laatste iOS 26 beta 7?
Keypunchie
@turkeyhakan21 augustus 2025 13:09
Is met geen zekerheid te zeggen, omdat Apple doorgaans niks over security content van Beta's zegt. Op zich mag je er wel vanuit gaan (en staat me uit het verleden ook bij) dat security fixes ook in de betas worden verwerkt. Als het niet de huidige beta is, dan wel de volgende.

[Reactie gewijzigd door Keypunchie op 21 augustus 2025 13:13]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq