Apple qurilmalarida xavfli yangi (0-Day) zaiflik: zudlik bilan yangilash tavsiya etiladi

Apple kompaniyasi iPhone va iPad foydalanuvchilari uchun favqulodda xavfsizlik yangilanishini e’lon qildi. Ushbu yangilanishlar iOS 18.6.2 va iPadOS 18.6.2 versiyalarida taqdim etilib, CVE-2025-43300 deb nomlangan juda xavfli yangi (0-Day) zaiflikni bartaraf etadi. Mazkur zaiflik hozirda faol ekspluatatsiya qilinayotgani tasdiqlangan bo‘lib, u maxsus tayyorlangan rasm fayllari orqali hujumchilarga qurilmani to‘liq nazorat qilish imkonini berishi mumkin.

Zaiflikning mohiyati

Muammo Apple’ning Image I/O framework tizimida aniqlangan. Bu komponent iOS va iPadOS operatsion tizimlarida turli xil rasm formatlarini qayta ishlash va ko‘rsatishda muhim rol o‘ynaydi. Aniqlanishicha, hujumchi maxsus yaratilgan rasmni qurilmaga yuborish orqali xotira buzilishiga (out-of-bounds write) sabab bo‘lishi mumkin. Natijada, hujumchi qurilmaning xotirasiga o‘zicha ma’lumot yozib, undan o‘z maqsadida foydalanadi. Bunday xatoliklar odatda arbitrar kod bajarishga olib kelib, qurilma ustidan to‘liq nazoratni hujumchiga topshirishi mumkin.

Kimlar nishonda?

Apple o‘z xavfsizlik bayonotida bu zaiflik “juda murakkab va maqsadli hujumlarda” qo‘llanilayotganini ta’kidladi. Bu esa odatiy kiberjinoyatchilar emas, balki davlat homiyligidagi maxsus guruhlar yoki josuslik dasturlarini ishlab chiquvchilar bo‘lishi ehtimolini ko‘rsatadi. Avvalgi yillarda keng tarqalgan Pegasus kabi “zero-click” ekspluatlar ham xuddi shunday usulda ishlagan – foydalanuvchi hech qanday amal bajarmasa ham, faqatgina faylni qabul qilishi qurilmaning yuqtirilishi uchun yetarli bo‘lgan.

Qaysi qurilmalar yangilanish oladi?

Apple kompaniyasi ushbu xavfli zaiflikni bartaraf etish uchun keng doiradagi qurilmalarga yangilanish taqdim etdi. Jumladan:

• iPhone XS va undan keyingi modellar;
• iPad Pro (13 dyuym, 12.9 dyuym 3-avlod va keyingi, 11 dyuym 1-avlod va keyingi);
• iPad Air 3-avlod va keyingi;
• iPad 7-avlod va keyingi;
• iPad mini 5-avlod va keyingi.

Himoya mexanizmi

Yangilanishda asosiy e’tibor xotira chegaralarini tekshirish (bounds checking) jarayonini yaxshilashga qaratilgan. Bu orqali noto‘g‘ri xotira yozilishining oldi olinadi va hujumchilarning qurilmaga zararli kod joylashtirish imkoniyati cheklanadi.

Foydalanuvchilarga tavsiyalar

Bu zaiflikning faol ekspluatatsiya qilinayotgani uni nazariy xavfdan amaliy xavfga aylantirdi. Shuning uchun barcha iPhone va iPad foydalanuvchilariga darhol “Software Update” bo‘limi orqali tizimni yangilash qat’iy tavsiya qilinadi. Yangilashni kechiktirish – qurilmangizni davlat darajasidagi murakkab kiberhujumlarga ochiq qoldirish demakdir.

Apple tomonidan aniqlangan CVE-2025-43300 zaifligi bugungi kunda mobil qurilmalarning eng jiddiy tahdidlaridan biri bo‘lib turibdi. U foydalanuvchilardan hech qanday harakatni talab qilmasdan qurilmani yuqtirishi mumkinligi bilan xavfli. Zamonaviy kiberxavfsizlik sharoitida eng kuchli himoya vositalaridan biri bu – o‘z vaqtida yangilanishlarni o‘rnatishdir.