Apple schließt Zero-Day-Lücke CVE-2025-43300 in iOS, iPadOS und macOS

Table of Contents

Apple hat am 21. August 2025 ein wichtiges Sicherheitsupdate veröffentlicht, das eine aktiv ausgenutzte Zero-Day-Schwachstelle in iOS, iPadOS und macOS behebt.

Die als CVE-2025-43300 verfolgte Lücke steckt im ImageIO-Framework. Durch ein manipuliertes Bild konnte ein Out-of-Bounds Write ausgelöst werden, was zu Speicherkorruption und potenziell zur Übernahme des Geräts führt. Laut Apple wurde die Schwachstelle bereits in einer hochgradig zielgerichteten Angriffskampagne missbraucht.

Betroffene Systeme & Patches

  • iOS 18.6.2 / iPadOS 18.6.2: iPhone XS und neuer, aktuelle iPads ab 3. Generation Air, 7. Generation iPad, 5. Generation Mini
  • iPadOS 17.7.10: ältere iPad-Modelle wie Pro 10.5", Pro 12.9" (2. Gen.), iPad 6. Gen.
  • macOS Ventura 13.7.8
  • macOS Sonoma 14.7.8
  • macOS Sequoia 15.6.1

Bedeutung und Kontext

  • Angreifer könnten Opfer mit speziell präparierten Bildern attackieren.
  • Zielgruppe waren offenbar spezifische, hochrangige Individuen, was auf Staatstrojaner oder APT-Gruppen hindeutet.
  • Es handelt sich um die siebte aktiv ausgenutzte Zero-Day-Lücke in Apple-Produkten allein im Jahr 2025.

Related Posts

Neue Phishing-Technik missbraucht Microsoft ADFS und legitime office.com-Links

Forscher von Push haben eine neuartige Phishing-Methode entdeckt, bei der Angreifer Active Directory Federation Services (ADFS) einsetzen, um Opfer über legitime office.com-Links auf gefälschte Microsoft-Anmeldeseiten umzuleiten.

Read More

Kritische Sicherheitslücke CVE-2025-52709 in WordPress-Plugin Everest Forms

Das WordPress-Plugin Everest Forms (Versionen ≤ 3.2.2) weist eine hochgefährliche Sicherheitslücke (CVE-2025-52709, CVSS 9.8) auf. Die Schwachstelle ermöglicht eine PHP Object Injection, über die Angreifer unter anderem Code- oder SQL-Injektionen, Path Traversal oder Denial-of-Service-Angriffe ausführen könnten – auch ohne Authentifizierung. Patchstack warnt vor einer baldigen massenhaften Ausnutzung und stuft die Priorität als hoch ein. Betreiber sollten sofort auf Version 3.2.3 oder neuer aktualisieren.

Read More

Gefährliche Path-Traversal-Lücke in WinRAR geschlossen

In WinRAR-Versionen bis einschließlich 7.12 für Windows wurde eine kritische Path-Traversal-Sicherheitslücke (CVE-2025-8088, CVSS 8.4) entdeckt, die Angreifern das Ausführen beliebigen Codes über manipulierte Archivdateien ermöglicht. Die Schwachstelle wurde bereits aktiv ausgenutzt und von ESET-Forschern aufgedeckt. Betroffen sind auch die Windows-Versionen von RAR, UnRAR sowie die portable UnRAR-Quelle und UnRAR.dll. Nutzer sollten umgehend auf WinRAR 7.13 oder neuer aktualisieren. Linux-, macOS- und Android-Versionen sind nicht betroffen.

Read More