Компания Apple выпустила экстренные обновления для устранения еще одной уязвимости нулевого дня, которая применялась в таргетированных атаках.
Уязвимость с идентификатором CVE-2025-43300 вызвана ошибкой записи за пределами выделенной памяти в фреймворке Image I/O, который используется для чтения и записи большинства форматов изображений.
Атака происходит, когда злоумышленники передают программе специально подготовленный ввод, вынуждая ее записывать данные за пределами выделенного буфера памяти. Это может привести к сбою программы, повреждению данных или, в худшем случае, к удаленному выполнению кода.
В бюллетени по безопасности сообщается:
Apple известно о сообщении, что данная уязвимость могла быть использована в крайне сложной атаке против отдельных целевых лиц.
Проблема исправлена улучшенной проверкой границ. Открытие вредоносного изображения теперь не приведет к повреждению памяти.
Apple исправила уязвимость в обновлениях:
- iOS 18.6.2 и iPadOS 18.6.2,
- iPadOS 17.7.10,
- macOS Sequoia 15.6.1,
- macOS Sonoma 14.7.8,
- macOS Ventura 13.7.8.
Список затронутых устройств весьма обширен и включает как новые, так и более старые модели:
- iPhone XS и новее,
- iPad Pro 13 дюймов, iPad Pro 12.9" (3-го поколения и новее), iPad Pro 11" (1-го поколения и новее), iPad Air (3-го поколения и новее), iPad (7-го поколения и новее), iPad mini (5-го поколения и новее),
- iPad Pro 12.9" (2-го поколения), iPad Pro 10.5", iPad (6-го поколения),
- Mac с macOS Sequoia, Sonoma и Ventura.
Apple пока не назвала исследователя, обнаружившего уязвимость, и не раскрыла подробности самих атак, описав их лишь как «чрезвычайно сложные».
Хотя уязвимость, вероятно, использовалась только в таргетированных атаках, настоятельно рекомендуется как можно скорее установить обновления безопасности, чтобы предотвратить возможные угрозы.
С этим обновлением Apple закрыла уже шестую уязвимость «нулевого дня» в 2025 году: первую в январе (CVE-2025-24085), вторую в феврале (CVE-2025-24200), третью в марте (CVE-2025-24201) и ещё две в апреле (CVE-2025-31200 и CVE-2025-31201).
Угрозы безопасности
• Хакеры заявляют об утечке данных 5,5 миллиона пользователей Discord. Компания подтверждает компрометацию 70 000 аккаунтов
• Поддельные страницы сервиса itch.io крадут аккаунты геймеров и устанавливают вредоносное ПО
• Google не будет исправлять атаку ASCII Smuggling в Gemini — уязвимы также DeepSeek и Grok
• Steam и Microsoft предупреждают об уязвимости в Unity, которая подвергает геймеров риску атак
• Discord подтвердил утечку данных через стороннего подрядчика: украдены личные данные и изображения удостоверений личности
• Инструмент EDR-Freeze позволяет отключать антивирусы через систему отчетов Windows