Компания Apple выпустила срочные обновления безопасности для iOS, iPadOS и macOS с целью устранения критической уязвимости нулевого дня, идентифицированной как CVE-2025-43300. Проблема заключается в компоненте ImageIO, отвечающем за обработку изображений. Злоумышленники могут вызвать повреждение памяти, заставив систему обработать специально созданный вредоносный графический файл.
Уязвимость уже активно используется в реальных кибератаках. В официальном заявлении Apple подтвердила: «Apple известно о том, что данная проблема могла эксплуатироваться в рамках чрезвычайно изощренной атаки, нацеленной на конкретных лиц». Характер атак описывается как высокотехнологичный и направленный на узкий круг пользователей. На данный момент информация о том, кто стоит за этими атаками и кто стал их целью, не раскрывается.
Проблема была обнаружена внутренними специалистами Apple. Для ее устранения инженеры компании внедрили улучшенную проверку границ (improved bounds checking), которая предотвращает выход за пределы выделенной области памяти при обработке данных изображения.
Обновления безопасности выпущены для широкого спектга устройств. Пользователям необходимо установить версии iOS 18.6.2 и iPadOS 18.6.2, если они владеют следующими моделями: iPhone XS и новее, iPad Pro 13-дюймовый, iPad Pro 12.9-дюймовый (3-го поколения и новее), iPad Pro 11-дюймовый (1-го поколения и новее), iPad Air (3-го поколения и новее), iPad (7-го поколения и новее), а также iPad mini (5-го поколения и новее).
Для владельцев некоторых более старых моделей планшетов выпущена отдельная версия iPadOS 17.7.10. Это обновление предназначено для iPad Pro 12.9-дюймового (2-го поколения), iPad Pro 10.5-дюймового и iPad (6-го поколения).
Пользователям компьютеров Mac также необходимо срочно обновиться. Патчи безопасности включены в macOS Ventura 13.7.8, macOS Sonoma 14.7.8 и macOS Sequoia 15.6.1, в зависимости от установленной на устройстве операционной системы.
Уязвимость CVE-2025-43300 стала уже седьмой проблемой нулевого дня, которую Apple была вынуждена устранять с начала 2025 года. Этот факт подчеркивает постоянную активность злоумышленников, ищущих способы обойти защиту экосистемы компании.
В список других уязвимостей нулевого дня, исправленных Apple в этом году, входят: CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201 и CVE-2025-43200.
Эта ситуация последовала за другим инцидентом, произошедшим в прошлом месяце. Тогда Apple выпустила исправления для отдельной уязвимости в веб-браузере Safari, которая была связана с компонентом с открытым исходным кодом.
Проблема, получившая идентификатор CVE-2025-6558, была обнаружена и сообщена специалистами из Google. Примечательно, что та же уязвимость также эксплуатировалась как уязвимость нулевого дня, но в атаках на пользователей веб-браузера Chrome.
Изображение носит иллюстративный характер
Уязвимость уже активно используется в реальных кибератаках. В официальном заявлении Apple подтвердила: «Apple известно о том, что данная проблема могла эксплуатироваться в рамках чрезвычайно изощренной атаки, нацеленной на конкретных лиц». Характер атак описывается как высокотехнологичный и направленный на узкий круг пользователей. На данный момент информация о том, кто стоит за этими атаками и кто стал их целью, не раскрывается.
Проблема была обнаружена внутренними специалистами Apple. Для ее устранения инженеры компании внедрили улучшенную проверку границ (improved bounds checking), которая предотвращает выход за пределы выделенной области памяти при обработке данных изображения.
Обновления безопасности выпущены для широкого спектга устройств. Пользователям необходимо установить версии iOS 18.6.2 и iPadOS 18.6.2, если они владеют следующими моделями: iPhone XS и новее, iPad Pro 13-дюймовый, iPad Pro 12.9-дюймовый (3-го поколения и новее), iPad Pro 11-дюймовый (1-го поколения и новее), iPad Air (3-го поколения и новее), iPad (7-го поколения и новее), а также iPad mini (5-го поколения и новее).
Для владельцев некоторых более старых моделей планшетов выпущена отдельная версия iPadOS 17.7.10. Это обновление предназначено для iPad Pro 12.9-дюймового (2-го поколения), iPad Pro 10.5-дюймового и iPad (6-го поколения).
Пользователям компьютеров Mac также необходимо срочно обновиться. Патчи безопасности включены в macOS Ventura 13.7.8, macOS Sonoma 14.7.8 и macOS Sequoia 15.6.1, в зависимости от установленной на устройстве операционной системы.
Уязвимость CVE-2025-43300 стала уже седьмой проблемой нулевого дня, которую Apple была вынуждена устранять с начала 2025 года. Этот факт подчеркивает постоянную активность злоумышленников, ищущих способы обойти защиту экосистемы компании.
В список других уязвимостей нулевого дня, исправленных Apple в этом году, входят: CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201 и CVE-2025-43200.
Эта ситуация последовала за другим инцидентом, произошедшим в прошлом месяце. Тогда Apple выпустила исправления для отдельной уязвимости в веб-браузере Safari, которая была связана с компонентом с открытым исходным кодом.
Проблема, получившая идентификатор CVE-2025-6558, была обнаружена и сообщена специалистами из Google. Примечательно, что та же уязвимость также эксплуатировалась как уязвимость нулевого дня, но в атаках на пользователей веб-браузера Chrome.
