iOS 18.6.2 (build 22G100) krytyczny hotfix na aktywnie wykorzystywaną lukę w ImageIO (CVE-2025-43300)

20 sierpnia 2025 r. Apple wydało aktualizacje bezpieczeństwa dla iOS, iPadOS i macOS, które łatają lukę CVE-2025-43300 w komponencie ImageIO. To poważna podatność typu out-of-bounds write, która może umożliwić przejęcie kontroli nad urządzeniem poprzez przetworzenie specjalnie spreparowanego obrazu. Apple w swoim advisory potwierdza, że luka była wykorzystywana w bardzo zaawansowanych, ukierunkowanych atakach na wybrane osoby. CISA dodała ją do katalogu Known Exploited Vulnerabilities, co oznacza najwyższy priorytet aktualizacji.

Wysoka ranga tego zdarzenia wynika z faktu, że ImageIO to systemowa biblioteka odpowiedzialna za obsługę wielu formatów obrazów. Korzysta z niej m.in. Safari, Mail, Wiadomości, a także mechanizm szybkiego podglądu plików i miniatur. Oznacza to, że samo otwarcie lub podgląd obrazu (np. w wiadomości czy mailu) może uruchomić kod podatny na atak.

To nie pierwszy raz, kiedy błędy w parserach obrazów były wykorzystywane na szeroką skalę:
– iOS/macOS (2023): podobny błąd w ImageIO (CVE-2023-41064) był częścią łańcucha BLASTPASS, używanego do instalacji spyware.
– iOS (2021): luka FORCEDENTRY w module renderowania obrazów (JBIG2) była używana przez NSO Group do ataków zero-click przez iMessage.
– Android (2015): podatność Stagefright umożliwiała przejęcie urządzenia złośliwym MMS-em, bez interakcji użytkownika.
– Windows/Linux: błędy w parserach obrazów (m.in. GDI+, libpng, libjpeg, WebP) wielokrotnie prowadziły do podatności – wystarczyło otworzyć lub wyświetlić grafikę w przeglądarce czy komunikatorze.

Wcześniejsze głośne podatności w parserach obrazów i multimediów:

Zestawienie pokazuje, że błędy w parserach obrazów i multimediów powracają cyklicznie i dotyczą wszystkich głównych platform – Windows, Linux, Android oraz iOS/macOS. Widać trzy wyraźne wzorce: po pierwsze powtarzalność technik – od JPEG i PNG sprzed dwóch dekad po WebP czy HEIF dziś, mechanizm ataku wciąż opiera się na subtelnym błędzie w dekoderze. Po drugie, zero-click stał się normą – użytkownik nie musi już nic robić, wystarczy samo odebranie wiadomości lub podgląd miniatury. Po trzecie, niezależność od platformy – komunikatory i przeglądarki wszędzie automatycznie przetwarzają multimedia, co czyni je atrakcyjnym celem. Dlatego CVE-2025-43300 nie jest odosobnionym przypadkiem, lecz kolejną odsłoną znanego problemu. Wniosek jest jeden: aktualizacje instalowane bez zwłoki pozostają kluczowym elementem obrony.

Wszędzie jest wspólny mianownik – automatyczne przetwarzanie multimediów w komunikatorach i przeglądarkach. To technika, z której atakujący korzystają od lat, bo wymaga minimalnej interakcji ze strony użytkownika. Wystarczy wyświetlić obraz.

Tym razem luka dotyczy wszystkich użytkowników iPhone’ów, iPadów i Maców. Ponieważ jest aktywnie wykorzystywana, brak aktualizacji oznacza realne ryzyko. Szczególnie narażone są osoby o podwyższonym profilu zagrożenia – dziennikarze, politycy, aktywiści, zarządy firm, wyspecjalizowani technicy i inni specjaliści. Dla nich dodatkowym zabezpieczeniem może być włączenie Trybu blokady (Lockdown Mode), który ogranicza powierzchnię ataku w komunikatorach i innych aplikacjach.

Brak możliwości downgrade’u – Warto podkreślić, że Apple po wydaniu iOS 18.6.2 (22G100) bardzo szybko przestało autoryzować starsze wersje systemu. Oznacza to, że próba instalacji wcześniejszego wydania zakończy się błędem – system nie uzyska autoryzacji z serwerów Apple które stosują mechanizm autoryzacji podpisów (SHSH blobs). W tym mechanizmie to serwery Apple decydują, które wersje iOS są jeszcze „signed”, czyli możliwe do instalacji. Ten mechanizm blokady downgrade’u (tzw. „signing”) jest jasnym sygnałem: aktualizacja nie jest opcją, lecz koniecznością. Starsze wersje pozostają podatne na CVE-2025-43300, a brak możliwości powrotu minimalizuje ryzyko, że ktoś świadomie lub przypadkowo będzie korzystał z zagrożonego systemu.

Najważniejsze kroki to niezwłoczna aktualizacja urządzenia do: iOS/iPadOS 18.6.2 (build 22G100), iPadOS 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8, Ventura 13.7.8, a w przypadku organizacji (MDM/SOC) wymuszenie aktualizacji, szczególnie na urządzeniach VIP.
Ważna jest równiez świadomość – pamiętajmy, że obrazek w mailu czy wiadomości to nie tylko grafika – to też potencjalny wektor ataku. Kluczowe jest monitowanie komunikatów Apple/CISA – na dziś brak publicznych wskaźników infekcji (IoC) dla tego CVE.

Czy jesteśmy bezbronni wobec tych technik ataku? Na szczęście – nie. Choć podatności w parserach obrazów powracają jak bumerang, mamy dziś do dyspozycji kilka mocnych mechanizmów obronnych:
– Sandboxing i separacja procesów – np. ImageIO w iOS działa w piaskownicy, co ogranicza skutki ewentualnego włamania, choć jako parser „wysokiego poziomu” jego wyników używa wiele aplikacji.
– Lockdown Mode – Apple wprowadziło go, aby odciąć automatyczne renderowanie części formatów i tym samym ograniczyć powierzchnię ataków zero-click.
– Fuzzing na masową skalę – projekty takie jak Google OSS-Fuzz codziennie wyłapują dziesiątki błędów w bibliotekach graficznych (libpng, libjpeg, Skia), zanim trafią one do stabilnych wersji systemów.
– Format hardening – nowsze formaty, takie jak WebP, AVIF czy HEIF, projektowane są z większą dbałością o walidację i kontrolę granic, co zmniejsza ryzyko klasycznych błędów przepełnienia.

Dzisiejsze ataki to precyzyjnie przygotowane sekwencje bajtów, które wykorzystują subtelne błędy w dekoderach. Atakujący koncentrują się na automatycznym przetwarzaniu obrazów (miniatury, podglądy, komunikatory), bo to daje im szansę na skuteczne ataki typu zero-click. Dlatego też współczesna obrona przesunęła się w stronę sandboxów, Lockdown Mode i wymuszania aktualizacji w krótkich cyklach. Pod warunkiem, że ktoś ich pilnuje i faktycznie instaluje poprawki na czas.

CVE-2025-43300 nie odkrywa nowych technik – to kolejna odsłona znanego problemu z parserami obrazów. Historia pokazuje, że komunikatory i przeglądarki na każdej platformie (iOS, Android, Windows, Linux) były już celem podobnych ataków. Dlatego szybka aktualizacja pozostaje jedyną realną ochroną. Jeśli jeszcze jej nie wykonaliście, nie zwlekajcie.

Dodatkowe źródła dla zainteresowanych:
Apple advisory – iOS/iPadOS 18.6.2
CISA KEV – CVE-2025-43300
NVD – CVE-2025-43300