עדכון אבטחה קריטי למוצרי Apple – חולשות מנוצלות בפועל (אפריל 2025)

על ידי prodigy | 18 באפריל 2025

תאריך פרסום: 17 באפריל, 2025

ב-17 באפריל 2025, חברת Apple פרסמה עדכון אבטחה קריטי המתקן שתי חולשות חמורות שהתגלו במערכות ההפעלה iOS, macOS ו-iPadOS. החולשות סווגו כקריטיות במיוחד, כאשר לפחות אחת מהן מנוצלת בפועל "in the wild". מדובר בסיכון מיידי עבור משתמשים וארגונים שעדיין לא ביצעו את העדכון.

פרטי החולשות

שתי החולשות המרכזיות שטופלו בעדכון:

  • CVE-2024-23225 – חולשה בליבת מערכת ההפעלה (kernel), שמאפשרת לתוקף להריץ קוד זדוני עם הרשאות מערכת. המשמעות: אפשרות להשתלטות מלאה על המכשיר המותקף.
  • CVE-2024-23296 – חולשה במנוע WebKit של דפדפן Safari, שעלולה לאפשר טעינת קוד זדוני בעת גלישה לאתר זדוני שנבנה במיוחד כדי לנצל אותה.

שתי החולשות דווחו על ידי חוקרי אבטחה עצמאיים, ואושרו על ידי Apple כהתמודדויות עם איומים ממשיים.

מערכות מושפעות

  • iPhone: גרסאות iOS מתחת ל-17.4.1
  • iPad: גרסאות iPadOS מתחת ל-17.4.1
  • Mac: גרסאות macOS Sonoma מתחת ל-14.4.1
  • Safari: כל גרסה שלא עודכנה יחד עם מערכת ההפעלה

במידה והמערכת אינה מעודכנת, קיימת אפשרות ממשית לחשיפה לפריצה, ללא פעולה יזומה מצד המשתמש.

משמעות לעסקים ולארגונים

למרות שמדובר בעדכון של מוצרים צרכניים, לארגונים המשתמשים במכשירי Apple – במיוחד במודל Bring Your Own Device (BYOD) – קיימת חשיבות כפולה לוודא שמכשירים אלה לא מהווים פרצה לרשת הארגונית.

  • גישה למיילים ארגוניים דרך iPhone או iPad עלולה לאפשר לתוקף גישה למסמכים רגישים.
  • גישה לרשתות פנימיות: מכשירים נגועים יכולים לשמש כ"סוסים טרויאניים" בתוך סביבת העבודה.

המלצות לפעולה

  1. ביצוע עדכון מיידי: ודאו כי כל המכשירים בארגון עודכנו לגרסאות האחרונות:
    • iOS 17.4.1
    • iPadOS 17.4.1
    • macOS Sonoma 14.4.1
  2. בדיקה מקדימה בסביבת ניסוי: בטרם העדכון למשתמשי קצה, מומלץ לבדוק את התאמת הגרסה לאפליקציות קריטיות.
  3. הפצת מידע לעובדים: שלחו הנחיות לעדכון מיידי למשתמשי Apple, תוך הדגשת הסיכון.
  4. חסימת מכשירים לא מעודכנים: ארגונים יכולים להחיל מדיניות MDM (ניהול מכשירים ניידים) שמגבילה גישה לרשת ממכשירים לא מעודכנים.

חידושים בטכנולוגיית ההגנה של Apple

Apple לא רק תוקנת את החולשות – היא גם שילבה בעדכון שיפורים בלוגיקות הגנה כמו:

  • שיפור במנגנון ניהול זיכרון של kernel
  • חיזוק הגנות Safari מפני אתרי פישינג
  • עדכוני אבטחה שקטים (Silent Updates) לרכיבים פנימיים של המערכת

הסבר על WebKit והסיכון שבו

WebKit הוא מנוע הרנדור של דפדפן Safari – כלומר, הוא אחראי על הצגת אתרי אינטרנט. כל חולשה במנוע זה משפיעה על כל מכשיר שמריץ את Safari, ודרכו – על עשרות אלפי אפליקציות צד שלישי שמשתמשות בו להצגת תוכן (כמו אפליקציות בנקאיות, אפליקציות קניות ועוד).

לכן, חולשה ב-WebKit היא אחת המסוכנות ביותר, כי גם משתמש זהיר עלול להידבק בלי לשים לב, רק על ידי כניסה לאתר נגוע.

סיכום

חולשות Zero-Day שמנוצלות בפועל הן איום מהותי, לא רק למשתמשים פרטיים אלא גם לארגונים. Apple פועלת במהירות לסגור פרצות, אך האחריות על ההטמעה בשטח – היא של המשתמשים והמנהלים.

🔒 המלצה חמה: אל תתמהמהו – עדכנו עוד היום.

מקור רשמי

Apple Security Updates – April 2025

© Prodigy — since 2008 | כל הזכויות שמורות

טלפון: 077-518-3184 | כתובת: פרופ' הלל וחנן אופנהיימר 2, רחובות | מייל: Sales@prodigy.co.il