Компания Apple выпустила обновления безопасности для своих операционных систем — iOS/iPadOS 18.4, macOS 15.4 Sequoia, iPadOS 17.7.6, а также старых версий — iOS/iPadOS 16.7.11 и 15.8.4. Эти апдейты устраняют более 50 уязвимостей, часть из которых могли активно использоваться злоумышленниками.
Согласно официальному документу поддержки, Apple закрыла критические уязвимости во множестве компонентов системы: от Safari, WebKit и Siri до AirDrop, Wallet и Календаря. Каждой уязвимости присвоен уникальный CVE-код.
Основные уязвимости, устранённые в обновления iOS/iPadOS 18.4 и macOS 15.4
Наиболее важные уязвимости были найдены и устранены в следующих компонентах:
- WebKit — несколько уязвимостей, включая ошибки в Bugzilla (285892, 284055 и др.).
- Safari — CVE-2025-24113, CVE-2025-30467 и другие.
- Siri — CVE-2025-31183, CVE-2025-24214, CVE-2025-24198 и др.
- CoreAudio, CoreText, BiometricKit, Kernel — уязвимости, потенциально позволяющие обойти защиту.
- libarchive, libxml2, curl — обновлены и защищены от атак через сторонние библиотеки.
Полный список CVE-уязвимостей можно найти на сайте Apple:
| Компонент | Идентификаторы CVE |
|---|---|
| Accessibility | CVE-2025-24202 |
| Apple Accounts | CVE-2025-24221, CVE-2025-30430, CVE-2025-24180 |
| AirDrop | CVE-2025-24097 |
| Audio | CVE-2025-24244, CVE-2025-24243 |
| BiometricKit | CVE-2025-24237 |
| Calendar | CVE-2025-30429, CVE-2025-24212 |
| CoreAudio | CVE-2025-24163, CVE-2025-24230, CVE-2025-24211, CVE-2025-24190 |
| CoreMedia Playback | CVE-2025-30454 |
| CoreServices | CVE-2025-31191 |
| CoreText | CVE-2025-24182 |
| curl | CVE-2024-9681 |
| DiskArbitration | CVE-2025-30456 |
| Focus | CVE-2025-30439, CVE-2025-24283 |
| Foundation | CVE-2025-30447 |
| Handoff | CVE-2025-30463 |
| ImageIO | CVE-2025-24210 |
| IOGPUFamily | CVE-2025-24257 |
| Log | CVE-2025-30434 |
| Kernel | CVE-2025-30432 |
| libarchive | CVE-2024-48958 |
| libnetcore | CVE-2025-24194 |
| libxml2 / libxpc | CVE-2025-27113, CVE-2024-56171, CVE-2025-24178, CVE-2025-31182, CVE-2025-24238 |
| Maps | CVE-2025-30470 |
| MobileLockdown | CVE-2025-24193 |
| NetworkExtension | CVE-2025-30426 |
| Photos | CVE-2025-30428, CVE-2025-30469 |
| Power Management | CVE-2025-24173 |
| RepairKit | CVE-2025-24095 |
| Safari | CVE-2025-24113, CVE-2025-30467, CVE-2025-31192, CVE-2025-24167 |
| Web Extensions | CVE-2025-31184, CVE-2025-24192 |
| WebKit | CVE-2025-24264, CVE-2025-24216, CVE-2025-24213, CVE-2025-24209, CVE-2025-24208, CVE-2025-30427, CVE-2025-30425 |
| Security & Privacy | CVE-2025-30471 |
| Share Sheet | CVE-2025-30438 |
| Shortcuts | CVE-2025-30433 |
| Siri | CVE-2025-31183, CVE-2025-24217, CVE-2025-24214, CVE-2025-24205, CVE-2025-24198 |
Поддержка старых устройств: iOS 15.8.4 и 16.7.11
В этих обновлениях Apple устранила уязвимости, известные из других систем, включая эксплуатируемую CVE-2025-24201 в WebKit и CVE-2025-24200 в Accessibility.
Интересно, что обновление iOS 15.8.4 продлило поддержку iPhone 6S, выпущенного почти 10 лет назад. Также апдейт доступен для:
- iPhone SE 1-го поколения
- iPhone 7
- iPad Air 2
- iPad mini 4
Кто помог Apple?
Apple традиционно поблагодарила исследователей за найденные уязвимости, включая специалистов из Google, ByteDance, университетов, а также независимых и анонимных экспертов, таких как Денис Токарев и Всеволод Кокорин.
Для получения полной информации о безопасности и содержимом обновлений — ознакомьтесь с официальной страницей Apple.
Угрозы безопасности
• Google устранила две уязвимости «нулевого дня» в Android, которые использовались в атаках
• ShadyPanda: Вредоносные расширения для Chrome и Edge установлены более 4,3 млн раз
• Приложение SmartTube для Android TV, для проcмотра YouTube без рекламы, оказалось заражено вредоносным ПО
• Вредоносные ИИ нового поколения: WormGPT 4 и KawaiiGPT уже генерируют рабочие скрипты для кибератак
• Посылка доставлена! Но вы её не заказывали: «Лаборатория Касперского» предупреждает о новых угрозах – брашинге и квишинге
• ASUS предупреждает о новой критической уязвимости обхода аутентификации в роутерах с AiCloud