Срочный патч Apple закрыл опасную уязвимость в iOS и macOS

Екатерина Быстрова 21 Августа 2025 - 09:07

Домашние пользователи

Уязвимость нулевого дня

Патчи

...

Срочный патч Apple закрыл опасную уязвимость в iOS и macOS

Apple выпустила внеплановые патчи, устраняющие очередную критическую уязвимость нулевого дня, которая уже использовалась в реальных атаках. Проблема получила идентификатор CVE-2025-43300 и связана с ошибкой записи за пределами границ в компоненте Image I/O.

Этот фреймворк отвечает за работу с изображениями в разных форматах. Если злоумышленник отправляет специально подготовленный файл, система может записать данные за пределами выделенной памяти.

В итоге это приводит к сбоям, повреждению данных или даже удалённому выполнению кода.

Apple уточнила, что баг могли использовать в «чрезвычайно сложной атаке» против отдельных пользователей. Деталей о том, кто стоял за атакой, компания пока не раскрывает.

Чтобы закрыть дыру, Apple улучшила проверку границ памяти. Патчи уже вышли для:

iOS 18.6.2 и iPadOS 18.6.2,
iPadOS 17.7.10,
macOS Sequoia 15.6.1,
macOS Sonoma 14.7.8,
macOS Ventura 13.7.8.

Под ударом оказались почти все актуальные устройства: iPhone начиная с XS, iPad Pro нескольких поколений, iPad Air и mini последних лет, а также Mac-устройства с тремя поддерживаемыми версиями macOS.

С начала года это уже шестая уязвимость нулевого дня, закрытая Apple. До этого патчи выходили в январе, феврале, марте и дважды в апреле. В 2024 году таких случаев тоже было шесть.

Даже если атаки носят точечный характер, Apple настоятельно рекомендует всем пользователям как можно скорее обновить устройства.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 19 Июня 2026 - 14:48

Уязвимости программ Домашние пользователи

Chrome-расширения с ИИ оказались опасной точкой входа для атак

Любите ИИ-помощников прямо в браузере? Тогда есть неприятные новости. Исследователи из Rebora Security Research обнаружили критические уязвимости сразу в двух популярных расширениях для Chrome — SiderAI и MaxAI. В сумме эти инструменты установлены более чем на 10 миллионах устройств.

Бреши получили собственные имена — Spyder и MaXSS. И звучат они почти так же неприятно, как работают.

Оба расширения используют глубокую интеграцию с браузером. Именно поэтому они могут пересказывать статьи, отвечать на вопросы по содержимому страниц и выполнять другие ИИ-задачи. Но та же самая интеграция неожиданно превратилась в огромную дыру в безопасности.

В случае с MaxAI исследователи обнаружили уязвимость MaXSS. Оказалось, что расширение доверяет сообщениям от посещаемых сайтов практически без проверки. В результате злоумышленники могут заставить его выполнять различные действия от имени пользователя: открывать скрытые вкладки, делать снимки экрана, получать доступ к конфиденциальным данным и даже перехватывать активные сессии.

У SiderAI ситуация не лучше. Уязвимость Spyder позволяет злоумышленникам имитировать действия пользователя на сайтах, создавать поддельные клики и ввод текста. По данным исследователей, атакующие могут получить доступ к истории ИИ-диалогов жертвы и незаметно отправить эти данные на внешние серверы.

Самое неприятное — для атаки пользователю не нужно ничего скачивать или подтверждать. Достаточно просто зайти на специально подготовленный сайт. Дальше всё происходит автоматически и практически незаметно.

Эксперты предупреждают, что последствия могут быть крайне серьёзными: от утечки личной информации и корпоративных данных до полного захвата учётных записей.

Проблема затрагивает не только Google Chrome. Под угрозой находятся практически все браузеры на базе Chromium, включая Microsoft Edge, Opera, Brave и другие.

На момент публикации разработчики SiderAI и MaxAI ещё не выпустили исправления. Поэтому исследователи рекомендуют пользователям временно удалить оба расширения и внимательно проверить список установленных браузерных дополнений.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!