CISA alerta para vulnerabilidade de zero-click no iOS

A CISA adicionou recentemente uma vulnerabilidade crítica de zero-click do iOS ao seu catálogo de Vulnerabilidades Exploradas Conhecidas.

Rastreada como CVE-2025-43200, a vulnerabilidade afeta vários produtos da Apple, incluindo iOS, iPadOS, macOS, watchOS e visionOS.

A falha foi explorada ativamente por spywares em ataques direcionados contra jornalistas. Os cibercriminosos comprometeram os dispositivos através de fotografias e vídeos, criados com códigos maliciosos partilhados através de links no iCloud. Desta forma, não era necessária qualquer interação por parte dos próprios utilizadores para o sucesso da ação.

Esta natureza técnica da exploração revela-se perigosa: as vítimas desconhecem o comprometimento de que são alvo, uma vez que a vulnerabilidade de zero-click é executada automaticamente quando o dispositivo de destino processa o conteúdo mídia malicioso.

A Apple lançou patches para o CVE-2025-43200 no iOS 18.3.1. No entanto, os dispositivos que executam versões anteriores do iOS permaneceram vulneráveis no início de 2025.

A vulnerabilidade foi adicionada ao catálogo KEV esta segunda-feira, 16 de junho. A CISA estabeleceu um prazo de correção da mesma até 7 de julho para agências federais, recomendando a todas as organizações uma ação imediata.