Apple выпустила внеплановые патчи, устраняющие очередную критическую уязвимость нулевого дня, которая уже использовалась в реальных атаках. Проблема получила идентификатор CVE-2025-43300 и связана с ошибкой записи за пределами границ в компоненте Image I/O.
Этот фреймворк отвечает за работу с изображениями в разных форматах. Если злоумышленник отправляет специально подготовленный файл, система может записать данные за пределами выделенной памяти.
В итоге это приводит к сбоям, повреждению данных или даже удалённому выполнению кода.
Apple уточнила, что баг могли использовать в «чрезвычайно сложной атаке» против отдельных пользователей. Деталей о том, кто стоял за атакой, компания пока не раскрывает.
Чтобы закрыть дыру, Apple улучшила проверку границ памяти. Патчи уже вышли для:
- iOS 18.6.2 и iPadOS 18.6.2,
- iPadOS 17.7.10,
- macOS Sequoia 15.6.1,
- macOS Sonoma 14.7.8,
- macOS Ventura 13.7.8.
Под ударом оказались почти все актуальные устройства: iPhone начиная с XS, iPad Pro нескольких поколений, iPad Air и mini последних лет, а также Mac-устройства с тремя поддерживаемыми версиями macOS.
С начала года это уже шестая уязвимость нулевого дня, закрытая Apple. До этого патчи выходили в январе, феврале, марте и дважды в апреле. В 2024 году таких случаев тоже было шесть.
Даже если атаки носят точечный характер, Apple настоятельно рекомендует всем пользователям как можно скорее обновить устройства.
