Apple heeft software-updates uitgebracht om verschillende beveiligingslekken in zijn productportfolio aan te pakken, waaronder een zero-day kwetsbaarheid waarvan wordt gezegd dat deze actief is uitgebuit.
Dit meldt The Hacker News. De kwetsbaarheid, aangeduid als CVE-2025-24085 wordt omschreven als een use-after-free bug in de Core Media-component. Deze fout kan een kwaadaardige applicatie die al op een apparaat is geïnstalleerd, in staat stellen om verhoogde privileges te verkrijgen.
Apple is op de hoogte van een melding dat dit probleem mogelijk actief is uitgebuit in versies van iOS vóór iOS 17.2. Dat stelt het bedrijf in een beknopte verklaring. Het probleem is aangepakt met verbeterd geheugenbeheer in een groot aantal apparaten en besturingssystemen.
– iOS 18.3 en iPadOS 18.3
iPhone XS en later. iPad Pro 13-inch, iPad Pro 12,9-inch (3e generatie en later), iPad Pro 11-inch (1e generatie en later). iPad Air (3e generatie en later), iPad (7e generatie en later) en iPad mini (5e generatie en later).
– macOS Sequoia 15.3
Macs met macOS Sequoia.
– tvOS 18.3
Apple TV HD en Apple TV 4K (alle modellen).
– visionOS 2.3
Apple Vision Pro.
– watchOS 11.3
Apple Watch Series 6 en later.
Zoals gebruikelijk zijn er momenteel geen details beschikbaar over hoe de kwetsbaarheid mogelijk in echte aanvallen is uitgebuit, door wie en wie mogelijk doelwit waren. Apple schreef de ontdekking van dit probleem nog niet toe aan een specifieke beveiligingsonderzoeker.
Beveiligingsfouten AirPlay
De updates pakken ook vijf beveiligingsfouten aan in AirPlay. Die zijn allemaal gerapporteerd door Oligo Security-onderzoeker Uri Katz. Deze fouten kunnen door een aanvaller worden misbruikt om onverwachte systeemuitval, denial-of-service (DoS) of willekeurige code-uitvoering onder bepaalde omstandigheden te veroorzaken.
Google’s Threat Analysis Group (TAG) ontdekte drie kwetsbaarheden in de CoreAudio-component. TAG rapporteerde die ook, als CVE-2025-24160, CVE-2025-24161 en CVE-2025-24163. Deze kunnen leiden tot onverwachte beëindiging van een applicatie bij het verwerken van een speciaal vervaardigd bestand.
Met CVE-2025-24085 aangemerkt als actief uitgebuit, wordt aanbevolen dat gebruikers van Apple-apparaten de patches toepassen om zich te beschermen tegen mogelijke bedreigingen.
Lees ook: ‘Infostealer’ besmet devices van tienduizenden Nederlanders