Обновите iOS: Apple исправила уязвимость, позволявшую хакерам атаковать устройства через фото

Компания Apple сообщила о выпуске экстренного обновления безопасности для своих операционных систем после обнаружения новой уязвимости нулевого дня, которая уже применялась в "чрезвычайно сложных атаках" против отдельных пользователей. Недостаток безопасности получил идентификатор CVE-2025-43300 и был обнаружен на платформе ImageIO, используемой для чтения и записи большинства форматов файлов изображений.

Уязвимость возникала из-за ошибки записи за пределами выделенного пространства памяти. Такой сбой позволяет злоумышленникам заставить программу работать с данными вне буфера, что может привести к повреждению данных, сбою работы приложений или даже удаленному выполнению вредоносного кода. По данным Apple, обработка специально созданного файла изображения могла вызвать повреждение памяти и стать точкой входа для атаки.

Компания подтвердила, что эта уязвимость могла быть использована против конкретных целей в реальных условиях. В своем сообщении Apple заявила: "Мы знаем о сообщениях, что эта проблема могла быть использована в чрезвычайно сложной атаке на определенных целевых лиц". Чтобы закрыть угрозу, улучшили проверку границ выделенной памяти, что предотвращает возможность ее использования.

ВАС ЗАИНТЕРЕСУЕТ

Маск угрожает судом Apple

Известно, что исправления уже доступны в таких версиях систем: iOS 18.6.2 и iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 и macOS Ventura 13.7.8. Перечень устройств, которые получили обновление, является достаточно широким:

• iPhone XS и более новые модели;
• iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air с 3-го поколения, iPad с 7-го поколения и iPad mini с 5-го поколения;
• iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюймов и iPad 6-го поколения;
• mac-компьютеры с macOS Sequoia, Sonoma и Ventura.

Portaltele сообщает, что это уже шестая уязвимость нулевого дня, исправленная Apple с начала года. Ранее компания закрыла подобные проблемы в январе - CVE-2025-24085, феврале - CVE-2025-24200, марте - CVE-2025-24201 и две в апреле - CVE-2025-31200, CVE-2025-31201.

Специалисты по кибербезопасности отмечают, что хотя эксплуатация CVE-2025-43300 пока фиксировалась преимущественно в целенаправленных атаках, пользователям стоит как можно скорее установить обновление, чтобы избежать потенциальных угроз в будущем. Как отмечают эксперты, из-за специфики ошибки достаточно получить вредоносное изображение, чтобы инициировать процесс несанкционированного доступа.

Ранее сообщалось, что компания Apple ведет переговоры с Google относительно возможного использования ее модели искусственного интеллекта Gemini для обновления своего голосового помощника Siri. Это партнерство помогло бы Apple сократить отставание от конкурентов в сфере генеративного ИИ. Рассматриваются также варианты сотрудничества с OpenAI и Anthropic, но окончательное решение еще не принято.