iOS 18.5: Apple закрыла дыры в FaceTime, Safari и ядре системы

Екатерина Быстрова 13 Мая 2025 - 08:56

Домашние пользователи

...

Apple выпустила свежее обновление iOS 18.5 и кучу сопутствующих патчей для iPadOS, macOS и других систем. Пользователям лучше не тянуть с установкой — закрыто много серьёзных уязвимостей, позволяющих запустить вредоносный код просто при открытии картинки, видео или веб-страницы.

Что починили в iOS 18.5?

Во-первых, критические дыры в компонентах AppleJPEG и CoreMedia. Злоумышленники могли подбросить вредоносные медиафайлы, которые выполняются с правами целевого приложения.

Дальше — проблемы в CoreAudio, CoreGraphics и ImageIO. Всё те же ловушки в файлах, которые могут привести к утечке данных или сбою в работе приложений.

А ещё — целых девять уязвимостей в WebKit. Некоторые из них могли позволить злонамеренным сайтам запускать код на устройстве пользователя или «ронять» Safari.

FaceTime снова в центре внимания

Починили и забавный (но на самом деле тревожный) баг с кнопкой «выключить микрофон» в FaceTime. Оказалось, что звук мог продолжать передаваться даже после того, как пользователь якобы отключил микрофон.

Под капотом — тоже много интересного

Apple укрепила защиту ядра против двух эксплойтов, связанных с повреждением памяти, и устранила ошибку в библиотеке libexpat (CVE-2024-8176), которая потенциально затрагивает множество проектов.

Среди других важных фиксов:

дыра в модуле Baseband (CVE-2025-31214), позволяющая перехватывать трафик на новых iPhone 16e;
баг повышения привилегий в mDNSResponder (CVE-2025-31222);
проблема в Notes, из-за которой данные могли утечь даже с экрана блокировки;
уязвимости в FrontBoard, iCloud Document Sharing и Mail Addressing.

Apple не сообщает, использовались ли эти уязвимости в реальных атаках, но, как говорится, лучше перестраховаться.

Кому ставить?

iOS 18.5 доступна для всех моделей начиная с iPhone XS. iPadOS — для iPad Pro 2018 года и новее, iPad Air 3, iPad 7, iPad mini 5 и всех более поздних моделей.

Вышли также обновления для macOS Sequoia, Sonoma, Ventura, а ещё для WatchOS, tvOS и visionOS.

Так что — не тяните, ставьте апдейты как можно скорее.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 21 Апреля 2026 - 09:15

Домашние пользователи Персональный VPN Анонимайзеры

Компании, предоставляющие платный доступ к VPN-сервисам, начали активно — а в ряде случаев и довольно агрессивно — призывать пользователей оформлять долгосрочные подписки. В качестве аргумента они указывают на риск скорой блокировки оплаты с российских банковских карт. Однако реакция рынка и аналитиков на такие заявления остаётся неоднозначной.

По мнению некоторых источников портала «Код Дурова», такая кампания может быть попыткой искусственно подогреть спрос. Это связывают с планируемым запретом на размещение VPN-сервисов на российских хостинговых площадках.

Вероятность принятия этой нормы оценивается как высокая, а её возможным последствием может стать прекращение работы таких сервисов и потеря денег пользователями.

Генеральный директор информационно-аналитического агентства TelecomDaily Денис Кусков в интервью НСН не исключил, что россияне действительно могут лишиться возможности оплачивать платные VPN с российских карт. По его словам, такие ограничения власти при желании способны ввести достаточно быстро:

«Это вполне реально. Если компания не представлена в России, то вполне возможно, что она не сможет принимать платежи. Это может произойти очень быстро. Часть людей использует бесплатный VPN, часть – платный. Поэтому тем, кто делает это платно, надо просто предусмотреть возможные риски. По аналогии с запретом оплаты Apple ID с двух российских мобильных операторов, это произошло достаточно быстро, практически в течение недели. Поэтому это может быть и в течение нескольких дней, а может – недель и месяцев».

При этом, как сообщает «Код Дурова», несмотря на то что многие процессинговые сервисы уже прекратили проводить оплату VPN в России, часть таких платежей по-прежнему проходит — например, если они маскируются под покупки в интернет-магазинах или под услуги, формально не связанные с предоставлением зашифрованных туннелей.