Apple закрыла уязвимость нулевого дня, которая используется в целевых атаках на iPhone, iPad и Mac

2025-08-21 228 комментарии
Apple выпустила экстренные обновления для iOS, iPadOS и macOS, устранив уязвимость нулевого дня CVE-2025-43300 во фреймворке Image I/O. Ошибка использовалась в целевых атаках и могла привести к удалённому выполнению кода. Рекомендуется срочно установить патчи

Компания Apple выпустила экстренные обновления для устранения еще одной уязвимости нулевого дня, которая применялась в таргетированных атаках.

Уязвимость с идентификатором CVE-2025-43300 вызвана ошибкой записи за пределами выделенной памяти в фреймворке Image I/O, который используется для чтения и записи большинства форматов изображений.

Атака происходит, когда злоумышленники передают программе специально подготовленный ввод, вынуждая ее записывать данные за пределами выделенного буфера памяти. Это может привести к сбою программы, повреждению данных или, в худшем случае, к удаленному выполнению кода.

В бюллетени по безопасности сообщается:

Apple известно о сообщении, что данная уязвимость могла быть использована в крайне сложной атаке против отдельных целевых лиц.

Проблема исправлена улучшенной проверкой границ. Открытие вредоносного изображения теперь не приведет к повреждению памяти.

Apple исправила уязвимость в обновлениях:

Список затронутых устройств весьма обширен и включает как новые, так и более старые модели:

  • iPhone XS и новее,
  • iPad Pro 13 дюймов, iPad Pro 12.9" (3-го поколения и новее), iPad Pro 11" (1-го поколения и новее), iPad Air (3-го поколения и новее), iPad (7-го поколения и новее), iPad mini (5-го поколения и новее),
  • iPad Pro 12.9" (2-го поколения), iPad Pro 10.5", iPad (6-го поколения),
  • Mac с macOS Sequoia, Sonoma и Ventura.

Apple пока не назвала исследователя, обнаружившего уязвимость, и не раскрыла подробности самих атак, описав их лишь как «чрезвычайно сложные».

Хотя уязвимость, вероятно, использовалась только в таргетированных атаках, настоятельно рекомендуется как можно скорее установить обновления безопасности, чтобы предотвратить возможные угрозы.

С этим обновлением Apple закрыла уже шестую уязвимость «нулевого дня» в 2025 году: первую в январе (CVE-2025-24085), вторую в феврале (CVE-2025-24200), третью в марте (CVE-2025-24201) и ещё две в апреле (CVE-2025-31200 и CVE-2025-31201).

Угрозы безопасности

Apple закрыла уязвимость нулевого дня, которая используется в целевых атаках на iPhone, iPad и Mac
Популярное расширение для Chrome шпионит за вами — удалите его немедленно
Хакеры эксплуатируют уязвимость WinRAR: обновитесь до версии 7.13
Программа-вымогатель Akira использует уязвимый драйвер для отключения Microsoft Defender
«Лаборатория Касперского»: троян LunaSpy под видом антивируса атакует Android-устройства в России
Proton устранил баг в Authenticator для iOS: TOTP-секреты сохранялись в логах в открытом виде

© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×