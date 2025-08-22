Když Apple vydá aktualizaci mimo svůj obvyklý harmonogram, většinou to znamená, že řeší nějaký vážný problém. Přesně to se stalo ve středu 20. srpna, kdy bez předchozího ohlášení dorazila na iPhony malá aktualizace na iOS 18.6.2. Nečekejte nové funkce ani vylepšené ikonky. Tentokrát jde o bezpečnost, a to v té nejnaléhavější podobě. Apple totiž opravuje chybu, kterou útočníci aktivně zneužívali.
Srdcem problému je zranitelnost označená jako CVE-2025-43300 v systémové komponentě ImageIO. Tuto část systému si můžete představit jako univerzálního tlumočníka, který aplikacím umožňuje číst, zapisovat a pracovat s prakticky jakýmkoli formátem obrázků.
Chyba spočívala v takzvaném „out-of-bounds write“, tedy možnosti zápisu dat mimo vyhrazený prostor v paměti. Laicky řečeno: útočník mohl přimět operační systém, aby zapsal škodlivé instrukce tam, kam neměl. Takový zásah naruší vnitřní integritu zařízení a otevře prostor pro spuštění cizího kódu. Pokud se tento kód navíc spustí s nejvyššími oprávněními, dokáže obejít veškeré bezpečnostní mechanismy a plně kompromitovat daný přístroj.
Zákeřný útok bez účasti uživatele
Nejzákeřnější na celé věci je způsob zneužití zranitelnosti. Pravděpodobně šlo o tzv. zero-click útok, kdy stačilo, aby oběť obdržela (například přes iMessage, WhatsApp či jinou komunikační aplikaci) speciálně upravený obrázek. Nemusela na nic klepat, nic otevírat, ani nic potvrzovat. V tu chvíli se na pozadí mohl spustit škodlivý kód, který útočníkovi otevřel dveře do zařízení.
Apple nebyl ohledně aktualizace příliš sdílný
Takto fungují i nechvalně proslulé špionážní programy typu Pegasus, které umí sledovat i šifrovanou komunikaci. Proto se bezpečnostní odborníci shodují, že i když je zneužití zatím cílené jen na konkrétní osoby, není dobrý nápad pokoušet štěstí. Zranitelnost byla okamžitě zařazena do katalogu známých zneužívaných zranitelností americké agentury CISA, což podtrhuje její závažnost a nařizuje federálním úřadům USA provést v termínu do 11. 9. 2025 aktualizaci.
Apple potvrdil, že „si je vědom zprávy o zneužití tohoto problému při extrémně sofistikovaném útoku na konkrétní cílené jedince“. Taková formulace obvykle ukazuje na aktivity státem podporovaných hackerů nebo skupin, které se zaměřují na novináře, aktivisty či vysoce postavené osoby. Jakmile je ale zranitelnost veřejně známá, dříve či později se ji pokusí zneužít v širším měřítku i méně sofistikovaní útočníci.
Aktualizaci neodkládejte, proveďte ji hned!
Zajímavé je, že update přichází jen pár týdnů po iOS 18.6, který opravoval hned 29 jiných zranitelností. To naznačuje, že tempo vývoje i útoků je velmi rychlé a není prostor pro odklad. Dobrou zprávou je, že chybu odhalil interní bezpečnostní tým Applu. Nedošlo tedy k tomu, že by ji musel nejprve objevit někdo zvenčí a zveřejnit. Apple tradičně nezveřejnil žádné podrobnosti, aby nezvyšoval riziko dalšího zneužívání.
Naštěstí oprava přišla rychle a je účinná. Vývojáři vylepšili kontrolu hranic paměti, čímž zabránili škodlivému zápisu dat. Poměrně zásadní je skutečnost, že se tento problém netýkal jen iPhonů. Stejnou záplatu obdržely i iPady v rámci iPadOS 18.6.2 (pro starší iPady Apple vydal iPadOS 17.7.10 se stejnou opravou) a také počítače Mac v aktualizacích macOS Sequoia 15.6.1, Sonoma 14.7.8 a Ventura 13.7.8. V ohrožení tak byl prakticky celý ekosystém.
Aktualizace iOS
Proto neváhejte ani minutu a nečekejte, až vám telefon aktualizaci nabídne sám! Nainstalujte si ji ručně, tedy otevřete Nastavení, přejděte do sekce Obecné a zvolte Aktualizace softwaru. Těch pár minut, které instalace zabere, je malá daň za klid a jistotu, že vaše data i soukromí zůstanou v bezpečí. Oprava se týká všech iPhonů od modelu XS výše.