Apple выпустила обновления безопасности, распространив исправления, вышедшие в прошлом месяце, на более старые модели iPhone и iPad. Они устраняют уязвимость нулевого дня, которая использовалась в «чрезвычайно сложных» атаках.
Речь идет о проблеме, которая была исправлена 20 августа для устройств на iOS 18.6.2 и iPadOS 18.6.2, iPadOS 17.7.10, а также macOS (Sequoia 15.6.1, Sonoma 14.7.8 и Ventura 13.7.8).
Уязвимость получила идентификатор CVE-2025-43300. Ее обнаружили исследователи безопасности Apple. Проблема заключалась в ошибке записи за пределами выделенной памяти в фреймворке Image I/O, который отвечает за работу с форматами изображений.
Такой тип ошибки возникает, когда злоумышленники применяют в атаке специально созданный файл, из-за чего программа записывает данные за пределы выделенного буфера памяти. Это может вызвать сбой, порчу данных или даже удаленное выполнение кода.
Теперь уязвимость исправлена в iOS 15.8.5 / 16.7.12 и iPadOS 15.8.5 / 16.7.12 благодаря улучшенным проверкам границ.
В бюллетене Apple говорится:
Обработка вредоносного файла изображения может привести к повреждению памяти. Проблема была устранена с помощью улучшенной проверки границ.
Apple известно о сообщении, что уязвимость могла использоваться в крайне сложной атаке против конкретных людей.
Список затронутых устройств обширен. Среди них:
- iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPhone 8, iPhone 8 Plus и iPhone X;
- iPad Air 2, iPad mini 4, iPad 5-го поколения, iPad Pro 9,7 дюйма, iPad Pro 12,9 дюйма (1-го поколения), iPod touch 7-го поколения.
В конце августа WhatsApp устранил уязвимость «нулевого клика» (CVE-2025-55177) в клиентах для iOS и macOS. Она использовалась в цепочке с багом Apple (CVE-2025-43300) в целевых атаках, которые компания назвала «чрезвычайно сложными».
Хотя Apple и WhatsApp пока не раскрывают подробности атак, где объединялись эти уязвимости, глава Security Lab Amnesty International Доннча О Сеарвайль (Donncha O Cearbhaill) сообщил, что WhatsApp предупреждал некоторых пользователей об их участии в кампании со шпионским ПО.
На прошлой неделе Samsung также устранила уязвимость удаленного выполнения кода, которая была связана с багом WhatsApp (CVE-2025-55177) и использовалась в атаках против ее Android-устройств.
Всего в 2025 году Apple закрыла уже шесть уязвимостей нулевого дня, активно эксплуатировавшихся в реальных атаках:
- первую в январе (CVE-2025-24085),
- вторую в феврале (CVE-2025-24200),
- третью в марте (CVE-2025-24201),
- еще две в апреле (CVE-2025-31200 и CVE-2025-31201).
Угрозы безопасности
• Apple выпустила исправления уязвимости «нулевого дня» для старых iPhone и iPad
• Новая вредоносная программа HybridPetya научилась обходить защиту UEFI Secure Boot
• В даркнете растёт рынок аренды аккаунтов мессенжера Max
• Apple предупреждает пользователей о целевых атаках шпионского ПО
• Новая уязвимость «нулевого дня» в роутерах TP-Link. CISA также предупреждает об активной эксплуатации других ошибок
• Google опровергает сообщения о крупной угрозе безопасности Gmail для 2,5 млрд пользователей