Компания Apple сообщила о выпуске экстренного обновления безопасности для своих операционных систем после обнаружения новой уязвимости нулевого дня, которая уже применялась в "чрезвычайно сложных атаках" против отдельных пользователей. Недостаток безопасности получил идентификатор CVE-2025-43300 и был обнаружен на платформе ImageIO, используемой для чтения и записи большинства форматов файлов изображений.
Уязвимость возникала из-за ошибки записи за пределами выделенного пространства памяти. Такой сбой позволяет злоумышленникам заставить программу работать с данными вне буфера, что может привести к повреждению данных, сбою работы приложений или даже удаленному выполнению вредоносного кода. По данным Apple, обработка специально созданного файла изображения могла вызвать повреждение памяти и стать точкой входа для атаки.
Компания подтвердила, что эта уязвимость могла быть использована против конкретных целей в реальных условиях. В своем сообщении Apple заявила: "Мы знаем о сообщениях, что эта проблема могла быть использована в чрезвычайно сложной атаке на определенных целевых лиц". Чтобы закрыть угрозу, улучшили проверку границ выделенной памяти, что предотвращает возможность ее использования.
Известно, что исправления уже доступны в таких версиях систем: iOS 18.6.2 и iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 и macOS Ventura 13.7.8. Перечень устройств, которые получили обновление, является достаточно широким:
- iPhone XS и более новые модели;
- iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air с 3-го поколения, iPad с 7-го поколения и iPad mini с 5-го поколения;
- iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюймов и iPad 6-го поколения;
- mac-компьютеры с macOS Sequoia, Sonoma и Ventura.
Portaltele сообщает, что это уже шестая уязвимость нулевого дня, исправленная Apple с начала года. Ранее компания закрыла подобные проблемы в январе - CVE-2025-24085, феврале - CVE-2025-24200, марте - CVE-2025-24201 и две в апреле - CVE-2025-31200, CVE-2025-31201.
Специалисты по кибербезопасности отмечают, что хотя эксплуатация CVE-2025-43300 пока фиксировалась преимущественно в целенаправленных атаках, пользователям стоит как можно скорее установить обновление, чтобы избежать потенциальных угроз в будущем. Как отмечают эксперты, из-за специфики ошибки достаточно получить вредоносное изображение, чтобы инициировать процесс несанкционированного доступа.
Ранее сообщалось, что компания Apple ведет переговоры с Google относительно возможного использования ее модели искусственного интеллекта Gemini для обновления своего голосового помощника Siri. Это партнерство помогло бы Apple сократить отставание от конкурентов в сфере генеративного ИИ. Рассматриваются также варианты сотрудничества с OpenAI и Anthropic, но окончательное решение еще не принято.