Apple เผยแพร่ชุดอัปเดตความปลอดภัยที่สำคัญเมื่อค่ำคืนที่ผ่านมา (20 ส.ค. ตามเวลาแปซิฟิก ตรงกับเช้าวันที่ 21 ส.ค. ในไทย) เพื่อแก้ไขช่องโหว่ CVE-2025-43300 ใน ImageIO—ส่วนประกอบที่ระบบใช้เปิด/อ่าน/เขียนไฟล์รูปภาพหลากหลายชนิด ช่องโหว่นี้เป็น out-of-bounds write ที่อาจทำให้หน่วยความจำเสียหายและเปิดทางให้ผู้โจมตีรันโค้ดบนเครื่องเป้าหมายได้ เพียงแค่เหยื่อ “ประมวลผล” รูปภาพที่ถูกฝัง payload เช่น พรีวิวจากข้อความ แอปแชต หรือเบราว์เซอร์ โดย Apple ระบุชัดว่าเห็นการโจมตีจริงแล้วต่อ “บุคคลที่ถูกเลือกเป้าหมายอย่างเฉพาะเจาะจง” และได้แก้ปัญหาด้วยการเพิ่มการตรวจสอบขอบเขตหน่วยความจำ (improved bounds checking).
ชุดแพตช์ครอบคลุมหลายเวอร์ชัน ได้แก่ iOS/iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 และ macOS Ventura 13.7.8 ซึ่งแต่ละเพจอัปเดตอย่างเป็นทางการของ Apple ระบุรายละเอียดเหมือนกันว่าเป็นบั๊กใน ImageIO พร้อมอ้างถึง CVE เดียวกัน ผู้ใช้จึงควรตรวจที่ Settings > General > Software Update (บน iPhone/iPad) หรือ System Settings > General > Software Update (บน Mac) และติดตั้งทันทีเพื่อป้องกันความเสี่ยงจากการโจมตีที่อาจไม่ต้องคลิกใด ๆ (zero-click-like ในบางกรณีการประมวลผลภาพอัตโนมัติ).
รายงานจากแหล่งข่าวความปลอดภัยอิสระยืนยันทิศทางเดียวกันว่าเหตุการณ์นี้เป็น zero-day ที่ถูกใช้งานจริง และ Apple เร่งปล่อยแพตช์ครอบคลุมทั้ง iPhone, iPad และ Mac ในรอบเดียวกัน โดยสำนักข่าวด้านไซเบอร์อย่าง SecurityWeek และ BleepingComputer ระบุว่าเป็นการโจมตีขั้นสูงที่พุ่งเป้าเจาะจงบุคคล ขณะที่ที่ปรึกษาความปลอดภัยระดับประเทศ (เช่น Cyber Centre ของแคนาดา) ก็ออกคำเตือนให้ผู้ใช้และแอดมินเร่งอัปเดตทันทีเช่นกัน.
