אפל שחררה עדכון לאייפון בעקבות פרצת אבטחה חמורה
אם יש לכם אייפון - כדאי לכם לעדכן אותו. חברת אפל שחררה עדכון גרסה ל-iOS 18.6.2 כדי לטפל בפרצת אבטחה חמורה. הפרצה בשם CVE-2025-43300, נתנה לתוקפים אפשרות לפרוץ למכשירים מבלי שהמשתמש יצטרך לעשות פעולות מיוחדות. הבשורה המנחמת היא שהמכשיר שלכם כנראה לא נפגע, אבל תמיד כדאי לעדכן במצב כזה
אפל שחררה את iOS 18.6.2 ואת iPadOS 18.6.2 כדי למנוע מהאקרים להשתמש בתמונות זדוניות לצורך החדרת רוגלות למכשירי אייפון ואייפד. העדכון שוחרר אתמול (20 באוגוסט) ומתקן פגם אחד, אך חמור, במערכת ImageIO של אפל. התוקפים יכלו לשלוח תמונה זדונית שגורמת לפגיעה בזיכרון ומאפשרת לפרוץ למכשיר. במילים פשוטות מישהו יכול היה לפרוץ לאייפון שלכם רק על ידי כך שהוא גורם לו לעבד תמונה, אפל מסרה כי התקלה נגרמה עקב כתיבה מחוץ לגבולות הזיכרון, כלומר נתונים גלשו למיקומים בזיכרון שבהם הם לא אמורים להיות מה שפתח לתוקפים הזדמנות להריץ קוד משלהם.
הפגם קיבל את השם CVE-2025-43300 ותוקן על ידי הידוק מנגנון הבקרה על גבולות הזיכרון, ההסבר הטכני אולי יבש אבל הסיכון ממש לא. פריצות מסוג זה לרוב לא דורשות מהמשתמש ללחוץ על שום דבר, המכשיר יכול להיפגע ברקע בעת תצוגה מקדימה של תמונה או קבלת תמונה דרך אפליקציה.
מי נמצא בסיכון?
העדכון מכסה את המכשירים הבאים: iPhone XS ומעלה, iPad Pro מהדור השלישי ומעלה, iPad Air מהדור השלישי ומעלה, iPad mini מהדור החמישי ומעלה, iPad מהדור השביעי ומעלה. מכשירים ישנים יותר לא קיבלו את העדכון כלומר משתמשים שעדיין מחזיקים בהם נותרו ללא הגנה.
אפל מציינת כי הפגם נוצל ב"תקיפות מתוחכמות במיוחד" נגד "אנשים בודדים שנבחרו במכוון". ניסוחים כאלה לרוב רומזים על קמפיינים של רוגלות נגד עיתונאים, עורכי דין ואקטיביסטים, למשל אפל השתמשה בעבר בניסוחים דומים בהתייחס לרוגלות כמו Pegasus הקשורות לחברה הישראלית NSO Group.
פרצות מסוג zero-day כלומר כאלו שנוצלו לפני שיצא להן תיקון נחשבות למסוכנות במיוחד, אפל תיקנה בעבר פרצות דומות ב־ImageIO וב־WebKit שחלקן היו קשורות לרוגלות שתקפו באופן שקט - לפעמים רק באמצעות קבלת הודעה או תמונה.
העדכון החדש מראה שהתוקפים ממשיכים לבדוק את מערכות אפל ועדיין מצליחים למצוא פרצות מדי פעם, גם אם סביר שהמשתמש הממוצע לא יהיה יעד לתקיפה כזו - אותן שיטות עלולות להיות ממוחזרות ולהופיע בהתקפות רחבות יותר בהמשך.
איך להגן על עצמכם?
ההגנה הטובה ביותר היא להתקין את iOS 18.6.2 ו־iPadOS 18.6.2 בהקדם האפשרי. אפל לא מפרסמת פרטים על הפגם עד שתיקון מוכן כדי למנוע מהאקרים להסיק ממנו מידע לפני שהמשתמשים מספיקים לעדכן את המכשיר. אם אתם משתמשים במכשיר ישן שלא נתמך, האפשרויות שלכם מוגבלות. ללא עדכונים המכשיר יישאר חשוף והאבטחה שלו הופכת לעוד סיבה לשדרג לדגם חדש. לרוב המשתמשים הסיכון נמוך אבל זה לא אומר שהעדכון מיותר. עדכונים כמו iOS 18.6.2 מבטיחים שהמכשיר שלכם לא ישמש ככלי בידי מישהו אחר.