A Apple lançou uma atualização de segurança crítica para o iOS 18.6.2 e iPadOS 18.6.2. O motivo? Um zero-day ativo, classificado como CVE-2025-43300, que já está sendo explorado em ataques altamente sofisticados contra alvos específicos. Se você tem um iPhone ou iPad compatível e ainda não atualizou, pare tudo agora.
A vulnerabilidade está no componente ImageIO, responsável por processar imagens no sistema. Isso significa que o simples ato de abrir uma imagem seja navegando num site, vendo uma foto enviada por mensagem ou acessando um anexo de e-mail pode ativar o ataque.
O que é a falha CVE-2025-43300?
Tecnicamente, trata-se de um erro de out-of-bounds write, uma falha que acontece quando o sistema escreve dados fora dos limites da memória alocada. Isso pode corromper a memória e, no pior cenário, permitir que o atacante execute código arbitrário o famoso “ganhar o controle do dispositivo”.
A Apple confirmou que essa vulnerabilidade já está sendo usada em ataques reais e descreveu os incidentes como “extremamente sofisticados”, linguagem reservada para campanhas complexas, possivelmente ligadas a grupos APT ou até mesmo ações de espionagem patrocinadas por governos.
Dispositivos afetados
A atualização cobre praticamente todos os dispositivos recentes, incluindo:
- iPhone XS e modelos mais recentes
- iPad Pro (13 e 12.9 polegadas, da 3ª geração em diante)
- iPad Pro 11″ (desde a 1ª geração)
- iPad Air (3ª geração e posteriores)
- iPad 7ª geração e superiores
- iPad mini 5ª geração em diante
A abrangência do patch reforça a gravidade da falha, que pode impactar milhões de usuários em todo o mundo. E como a falha está em algo tão comum quanto o processamento de imagens, é difícil identificar o ataque no momento em que ele ocorre.
O que a Apple fez
Para mitigar o problema, a Apple aplicou melhorias no controle de limites de memória dentro do ImageIO prática conhecida como bounds checking. Nada de inovador, mas eficiente e necessário. Além disso, a Apple segue seu padrão de só divulgar detalhes técnicos após o lançamento do patch, o que evita exploração em massa durante a janela de vulnerabilidade.
O que você precisa fazer agora
Se você ainda não atualizou, vá até Ajustes > Geral > Atualização de Software e instale o iOS ou iPadOS 18.6.2 imediatamente. Essa não é uma daquelas atualizações com melhorias visuais ou correção de bugs menores. É proteção contra uma ameaça ativa e comprovadamente perigosa.
Esse tipo de ataque tende a ser direcionado mas basta uma imagem para iniciar a infecção. Pode vir por e-mail, mensagem ou até num site comprometido. E se você ainda acredita que é “só um JPEG”, já passou da hora de rever essa ideia.
