---

A Apple lançou uma atualização de segurança de emergência em 20 de agosto de 2025 para corrigir uma vulnerabilidade zero-day crítica que estava sendo ativamente explorada por hackers em ataques altamente sofisticados. A falha, identificada como CVE-2025-43300, afeta praticamente todo o ecossistema Apple e representa um risco significativo para a segurança dos usuários.

 

A Vulnerabilidade CVE-2025-43300: Detalhes Técnicos

 

Localização e Natureza da Falha

A vulnerabilidade reside no Image I/O framework, o componente fundamental dos sistemas operacionais Apple responsável por processar diversos formatos de arquivos de imagem. Trata-se de uma falha de escrita fora dos limites (out-of-bounds write) que permite que dados sejam escritos além da memória alocada.

 

Como Funciona o Ataque

Quando um dispositivo Apple processa uma imagem maliciosa especialmente criada, a vulnerabilidade pode ser explorada para causar:

• Corrupção de memória do sistema
• Execução remota de código malicioso
• Controle total do dispositivo pelo atacante

 

O aspeto mais perigoso é que nenhum clique do usuário é necessário – o processamento da imagem pode ser disparado automaticamente através de mensagens, e-mail ou conteúdo web.

 

Escopo da Ameaça: Exploração Ativa Confirmada

Ataques Direcionados em Andamento

A Apple confirmou oficialmente ter “conhecimento de um relatório indicando que este problema pode ter sido explorado num ataque extremamente sofisticado contra indivíduos específicos”. Esta linguagem indica que a vulnerabilidade não é apenas teórica – ela está sendo ativamente explorada em ataques reais.

 

Classificação de Severidade

• Pontuação CVSS: 8.8/10 (alta severidade)
• Qualys Vulnerability Score (QVS): 95 (muito crítico)
• Adicionada ao catálogo CISA KEV em 21 de agosto de 2025

 

Dispositivos e Versões Afetadas

iOS e iPadOS

• iPhone XS e posteriores
• iPad Pro (várias gerações), iPad Air, iPad mini
• Versões anteriores ao iOS 18.6.2 e iPadOS 18.6.2
• iPadOS anterior à versão 17.7.10 para modelos mais antigos

macOS

• macOS Sequoia (anterior à 15.6.1)
• macOS Sonoma (anterior à 14.7.8)
• macOS Ventura (anterior à 13.7.8)

 

Atualizações de Segurança Libertadas

A Apple lançou correções imediatas para todas as plataformas afetadas:

 

Versões Corrigidas:

• iOS 18.6.2 e iPadOS 18.6.2
• iPadOS 17.7.10 (para dispositivos mais antigos)
• macOS Sequoia 15.6.1
• macOS Sonoma 14.7.8
• macOS Ventura 13.7.8

Contexto Alarmante: Sétima Zero-Day de 2025

Esta vulnerabilidade marca a sétima falha zero-day corrigida pela Apple em 2025, demonstrando um padrão preocupante de ataques direcionados. As outras vulnerabilidades corrigidas este ano foram:

• CVE-2025-24085 (janeiro)
• CVE-2025-24200 (fevereiro)
• CVE-2025-24201 (março)
• CVE-2025-31200 e CVE-2025-31201 (abril)
• CVE-2025-43200 (anterior)

 

Riscos Específicos para Criptomoedas

Ameaça a Carteiras Digitais

A vulnerabilidade representa um risco particular para proprietários de criptomoedas, pois permite que malwares:

• Acessem galerias de fotos para roubar frases de recuperação (seed phrases) armazenadas como screenshots
• Monitorem a área de transferência para substituir endereços de carteira durante transações
• Executem reconhecimento óptico de caracteres (OCR) em imagens para extrair informações sensíveis

 

Resposta Oficial e Prazo para Correção

Alerta CISA

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a vulnerabilidade ao seu Catálogo de Vulnerabilidades Conhecidas Exploradas e estabeleceu 11 de setembro de 2025 como prazo limite para agências federais implementarem a correção.

 

Recomendações Urgentes

Especialistas em segurança enfatizam que, embora os ataques iniciais tenham sido altamente direcionados, a história mostra que vulnerabilidades zero-day frequentemente evoluem para campanhas de exploração em massa após a divulgação das correções.

 

Como Atualizar Imediatamente

iPhone e iPad:

1. Acesse Configurações > Geral > Atualização de Software
2. Baixe e instale o iOS/iPadOS 18.6.2 ou iPadOS 17.7.10

Mac:

1. Acesse Configurações do Sistema > Geral > Atualização de Software
2. Instale a versão correspondente do macOS

 

Medidas Preventivas Adicionais

Enquanto a atualização é instalada, usuários devem:

• Evitar abrir imagens de fontes não confiáveis
• Desabilitar pré-visualizações automáticas em aplicativos de mensagens
• Ativar atualizações automáticas para proteção futura
• Monitorizar dispositivos em busca de comportamento anómalo

Conclusão: Ação Imediata Necessária

A vulnerabilidade CVE-2025-43300 representa uma ameaça crítica e ativa a milhões de dispositivos Apple em todo o mundo. Com confirmação de exploração em ataques sofisticados e o potencial de escalação para campanhas mais amplas, todos os usuários Apple devem atualizar seus dispositivos imediatamente.

Esta situação reforça a importância de manter uma postura de segurança proativa, com atualizações regulares e vigilância constante contra ameaças emergentes no ecossistema digital.

 

Bibliografia (APA 7.ª edição)

4gnews. (2025, 20 agosto). Atualiza agora! Apple lança atualização urgente para corrigir falha crítica no iPhone e iPad. 4gnews. https://4gnews.pt/atualiza-agora-apple-lanca-atualizacao-urgente-para-corrigir-falha-critica-no-iphone-e-ipad/

Addigy. (2025, 20 agosto). Apple patches high severity zero-day vulnerability. Addigy. https://addigy.com/blog/apple-patches-high-severity-zero-day-vulnerability/

Apple. (2025, 19 agosto). About the security content of iOS 18.6.2 and iPadOS 18.6.2. Apple Support. https://support.apple.com/en-us/124925

Café com Bytes. (2025, 21 agosto). Apple lança atualização urgente para corrigir falha Zero-Day crítica em iOS, iPadOS e macOS. Café com Bytes. https://cafecombytes.com.br/2025/08/21/apple-lanca-atualizacao-urgente-para-corrigir-falha-zero-day-critica-em-ios-ipados-e-macos/

CISA. (n.d.). Known exploited vulnerabilities catalog. Cybersecurity and Infrastructure Security Agency. https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Cointribune. (2025, 24 agosto). Apple publica correções de emergência contra uma falha explorada para roubar criptos. Cointribune. https://www.cointribune.com/pt-br/apple-publica-correcoes-de-emergencia-contra-uma-falha-explorada-para-roubar-criptos/

CryptoSlate. (2025, 21 agosto). Apple patches iOS zero-day that put crypto wallets at risk via malicious images. CryptoSlate. https://cryptoslate.com/apple-patches-ios-zero-day-that-put-crypto-wallets-at-risk-via-malicious-images/

CSA Singapore. (2025, 24 agosto). High-severity zero-day vulnerability in Apple products. Cyber Security Agency of Singapore. https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-084/

CyberScoop. (2025, 20 agosto). Apple discloses actively exploited zero-day affecting iOS, iPadOS and macOS. CyberScoop. https://cyberscoop.com/apple-zero-day-ios-macos-ipados-august-2025/

GB Hackers. (2025, 21 agosto). CISA warns of actively exploited 0-day vulnerability in Apple iOS, iPadOS, and macOS. GB Hackers. https://gbhackers.com/cisa-warns-of-actively-exploited-0-day-vulnerability-in-apple/

Help Net Security. (2025, 20 agosto). Apple zero-day vulnerability CVE-2025-43300 exploited in extremely sophisticated attack. Help Net Security. https://www.helpnetsecurity.com/2025/08/20/apple-zero-day-vulnerability-exploited-in-extremely-sophisticated-attack-cve-2025-43300/

Hoplon InfoSec. (2025, 20 agosto). Apple CVE-2025-43300 zero-day patch. Hoplon InfoSec. https://hoploninfosec.com/apple-cve-2025-43300-zero-day-patch/

ITSecurity. (2025, 8 março). Apple lança atualização urgente para corrigir vulnerabilidade zero day. ITSecurity. https://www.itsecurity.pt/news/threats/apple-lanca-atualizacao-urgente-para-corrigir-vulnerabilidade-zero-day

LCSec. (2025, 20 agosto). Falha grave no iOS é explorada ativamente: saiba como se proteger. LCSec. https://lcsec.io/blog/falha-zero-day-ios-mac-saiba-como-se-proteger

Malwarebytes. (2025, 20 agosto). All Apple users should update after company patches zero-day vulnerability in all platforms. Malwarebytes Labs. https://www.malwarebytes.com/blog/news/2025/08/all-apple-users-should-update-after-company-patches-zero-day-vulnerability-in-all-platforms

Malwarebytes. (2025, 25 agosto). All Apple users should update after company patches zero-day vulnerability in all platforms. Malwarebytes Labs. https://www.malwarebytes.com/blog/news/2025/08/all-apple-users-should-update-after-company-patches-zero-day-vulnerability-in-all-platforms?utm_source=iterable&utm_medium=email&utm_campaign=b2c_pro_oth_20250825_augustweeklynewsletter_nonpaid_v4_2_175584140964&utm_content=Apple_logo

Oficina da Net. (2025, 11 março). Apple solta atualização urgente para corrigir falha grave. Oficina da Net. https://www.oficinadanet.com.br/apple/60452-apple-solta-atualizacao-urgente-para-corrigir-falha-grave

PCGuia. (2025, 20 agosto). Apple disponibiliza actualização de emergência para corrigir um zero-day exploit no iPhone e no macOS. PCGuia. https://www.pcguia.pt/2025/08/apple-disponibiliza-actualizacao-de-emergencia-para-corrigir-um-zero-day-exploit-no-iphone-e-no-macos/

Security Affairs. (2025, 20 agosto). Apple addressed the seventh actively exploited zero-day. Security Affairs. https://securityaffairs.com/181394/security/apple-addressed-the-seventh-actively-exploited-zero-day.html

Sempre Update. (2025, 24 agosto). Atualização urgente Apple: Corrija a falha CVE-2025-43300. Sempre Update. https://sempreupdate.com.br/apple-atualizacao-urgente-ios-cve-2025-43300/

SiliconANGLE. (2025, 21 agosto). Apple issues emergency update to fix zero-day flaw in ImageIO framework. SiliconANGLE. https://siliconangle.com/2025/08/21/apple-issues-emergency-update-fix-zero-day-flaw-imageio-framework/

SOCPrime. (2025, 20 agosto). CVE-2025-43300 vulnerability: Zero-day in iOS, iPadOS, and macOS. SOCPrime. https://socprime.com/blog/cve-2025-43300-zero-day-vulnerability/

The Hacker News. (2025, 24 agosto). Apple patches CVE-2025-43300 zero-day in iOS, iPadOS, and macOS. The Hacker News. https://thehackernews.com/2025/08/apple-patches-cve-2025-43300-zero-day.html

The Record. (2025, 21 agosto). CISA warns of Apple zero-day used in targeted cyberattacks. The Record. https://therecord.media/cisa-warns-of-apple-zero-day

The Register. (2025, 21 agosto). Apple rushes out fix for active zero-day in iOS and macOS. The Register. https://www.theregister.com/2025/08/21/apple_imageio_exploit/

Threatprotect Qualys. (2025, 21 agosto). Apple addressed zero-day vulnerability impacting iOS, iPadOS, and macOS (CVE-2025-43300). Qualys ThreatPROTECT. https://threatprotect.qualys.com/2025/08/21/apple-addressed-zero-day-vulnerability-impacting-ios-ipados-and-macos-cve-2025-43300/

TugaTech. (2025, 20 agosto). Apple lança atualização de emergência para corrigir falha grave já explorada em ataques. TugaTech. https://tugatech.com.pt/t70862-apple-lanca-atualizacao-de-emergencia-para-corrigir-falha-grave-ja-explorada-em-ataques