Компания Apple выпустила обновления безопасности для старых моделей устройств, чтобы устранить критическую уязвимость, которая активно использовалась в целевых шпионских атаках. Уязвимость с идентификатором CVE-2025-43300 и высоким уровнем опасности 8.8 по шкале CVSS затрагивает компонент ImageIO. Проблема типа «запись за пределами выделенного буфера» возникает при обработке специально созданного вредоносного изображения и может привести к повреждению памяти. Apple подтвердила, что эта уязвимость уже эксплуатировалась злоумышленниками.
Атака, в которой применялась данная уязвимость, была охарактеризована как «чрезвычайно изощренная». Она была направлена на «конкретных целевых лиц», а общее число жертв оценивается менее чем в 200 человек. Это указывает на использование дорогостоящего шпионского программного обеспечения для слежки за определенными людьми, а не для массового заражения.
Для успешного проведения атаки злоумышленники использовали цепочку из двух уязвимостей. Основной эксплойт CVE-2025-43300 в ImageIO комбинировался с уязвимостью CVE-2025-55177 (CVSS 5.4) в приложении WhatsApp для Apple iOS и macOS. Такой комплексный подход позволял развертывать шпионское ПО на устройствах жертв через отправку вредоносного файла.
В понедельник Apple предприняла ответные меры, выпустив исправления не только для актуальных, но и для более старых операционных систем. Этот процесс, известный как «бэкпортинг», расширяет защиту на устройства, которые больше не получают функциональные обновления. Изначально проблема была решена в конце прошлого месяца с выходом iOS 18.6.2 и iPadOS 18.6.2. Теперь же обновления доступны для iPadOS 17.7.10, macOS Ventura 13.7.8, macOS Sonoma 14.7.8 и macOS Sequoia 15.6.7.12.
Обновления безопасности также были выпущены для более старых устройств. Версия iPadOS 16.7.12 предназначена для iPhone 8, iPhone 8 Plus, iPhone X, iPad 5-го поколения, iPad Pro 9.7-дюйма и iPad Pro 12.9-дюйма 1-го поколения. Это обеспечивает защиту для значительного парка все еще используемых гаджетов.
Наиболее старые поддерживаемые устройства получили обновления iOS 15.8.5 и iPadOS 15.8.5. В список входят iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Air 2, iPad mini (4-го поколения) и iPod touch (7-го поколения). Выпуск этих патчей подчеркивает серьезность обнаруженной угрозы.
Одновременно с этим Apple выпустила масштабный пакет обновлений для всей своей экосистемы, закрыв множество других уязвимостей. В список вошли iOS 26, iPadOS 26, iOS 18.7, iPadOS 18.7, macOS Tahoe 26, macOS Sequoia 15.7, macOS Sonoma 14.8, tvOS 26, visionOS 26, watchOS 26, Safari 26 и Xcode 26. На данный момент нет свидетельств того, что эти дополнительные уязвимости использовались в реальных атаках.
Среди закрытых проблем — несколько уязвимостей, позволяющих приложению получить права суперпользователя (root). К ним относятся CVE-2025-43316 в компоненте DiskArbitration, CVE-2025-43333 в Spotlight и CVE-2025-43304 в StorageKit (проблема состояния гонки).
Другая группа исправлений нацелена на предотвращение обхода системы безопасности «песочницы» и несанкционированного доступа к данным. Уязвимость CVE-2025-43329 в Sandbox и CVE-2025-43204 в RemoteViewServices позволяли приложению выйти за пределы своей изолированной среды. В то же время CVE-2025-31255 в IOKit и CVE-2025-43285 в AppSandbox давали доступ к защищенным пользовательским данным, а CVE-2025-43362 в LaunchServices — возможность отслеживать нажатия клавиш без разрешения.
Были исправлены и другие проблемы. Уязвимость CVE-2025-43349 в CoreAudio могла привести к аварийному завершению работы приложения при обработке вредоносного видеофайла. Проблема CVE-2025-43297 в системе управления питанием могла вызвать отказ в обслуживании. В браузере Safari устранены уязвимости CVE-2025-31254 (неожиданное перенаправление URL) и CVE-2025-43272 (сбой при обработке веб-контента). Также закрыта проблема CVE-2025-43358 в приложении «Команды», позволявшая обходить ограничения «песочницы».
Отдельного упоминания заслуживает уязвимость в среде разработки Xcode (CVE-2025-48384). Она связана с реализацией Git и позволяла выполнять удаленный код в системе разработчика при клонировании специально созданного вредоносного репозитория.
Изображение носит иллюстративный характер
Атака, в которой применялась данная уязвимость, была охарактеризована как «чрезвычайно изощренная». Она была направлена на «конкретных целевых лиц», а общее число жертв оценивается менее чем в 200 человек. Это указывает на использование дорогостоящего шпионского программного обеспечения для слежки за определенными людьми, а не для массового заражения.
Для успешного проведения атаки злоумышленники использовали цепочку из двух уязвимостей. Основной эксплойт CVE-2025-43300 в ImageIO комбинировался с уязвимостью CVE-2025-55177 (CVSS 5.4) в приложении WhatsApp для Apple iOS и macOS. Такой комплексный подход позволял развертывать шпионское ПО на устройствах жертв через отправку вредоносного файла.
В понедельник Apple предприняла ответные меры, выпустив исправления не только для актуальных, но и для более старых операционных систем. Этот процесс, известный как «бэкпортинг», расширяет защиту на устройства, которые больше не получают функциональные обновления. Изначально проблема была решена в конце прошлого месяца с выходом iOS 18.6.2 и iPadOS 18.6.2. Теперь же обновления доступны для iPadOS 17.7.10, macOS Ventura 13.7.8, macOS Sonoma 14.7.8 и macOS Sequoia 15.6.7.12.
Обновления безопасности также были выпущены для более старых устройств. Версия iPadOS 16.7.12 предназначена для iPhone 8, iPhone 8 Plus, iPhone X, iPad 5-го поколения, iPad Pro 9.7-дюйма и iPad Pro 12.9-дюйма 1-го поколения. Это обеспечивает защиту для значительного парка все еще используемых гаджетов.
Наиболее старые поддерживаемые устройства получили обновления iOS 15.8.5 и iPadOS 15.8.5. В список входят iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Air 2, iPad mini (4-го поколения) и iPod touch (7-го поколения). Выпуск этих патчей подчеркивает серьезность обнаруженной угрозы.
Одновременно с этим Apple выпустила масштабный пакет обновлений для всей своей экосистемы, закрыв множество других уязвимостей. В список вошли iOS 26, iPadOS 26, iOS 18.7, iPadOS 18.7, macOS Tahoe 26, macOS Sequoia 15.7, macOS Sonoma 14.8, tvOS 26, visionOS 26, watchOS 26, Safari 26 и Xcode 26. На данный момент нет свидетельств того, что эти дополнительные уязвимости использовались в реальных атаках.
Среди закрытых проблем — несколько уязвимостей, позволяющих приложению получить права суперпользователя (root). К ним относятся CVE-2025-43316 в компоненте DiskArbitration, CVE-2025-43333 в Spotlight и CVE-2025-43304 в StorageKit (проблема состояния гонки).
Другая группа исправлений нацелена на предотвращение обхода системы безопасности «песочницы» и несанкционированного доступа к данным. Уязвимость CVE-2025-43329 в Sandbox и CVE-2025-43204 в RemoteViewServices позволяли приложению выйти за пределы своей изолированной среды. В то же время CVE-2025-31255 в IOKit и CVE-2025-43285 в AppSandbox давали доступ к защищенным пользовательским данным, а CVE-2025-43362 в LaunchServices — возможность отслеживать нажатия клавиш без разрешения.
Были исправлены и другие проблемы. Уязвимость CVE-2025-43349 в CoreAudio могла привести к аварийному завершению работы приложения при обработке вредоносного видеофайла. Проблема CVE-2025-43297 в системе управления питанием могла вызвать отказ в обслуживании. В браузере Safari устранены уязвимости CVE-2025-31254 (неожиданное перенаправление URL) и CVE-2025-43272 (сбой при обработке веб-контента). Также закрыта проблема CVE-2025-43358 в приложении «Команды», позволявшая обходить ограничения «песочницы».
Отдельного упоминания заслуживает уязвимость в среде разработки Xcode (CVE-2025-48384). Она связана с реализацией Git и позволяла выполнять удаленный код в системе разработчика при клонировании специально созданного вредоносного репозитория.
