Компанія Apple повідомила про випуск екстреного оновлення безпеки для своїх операційних систем після виявлення нової вразливості нульового дня, яка вже застосовувалася у “надзвичайно складних атаках” проти окремих користувачів. Недолік безпеки отримав ідентифікатор CVE-2025-43300 і був виявлений на платформі ImageIO, що використовується для читання та запису більшості форматів файлів зображень.
Вразливість виникала через помилку запису за межами виділеного простору пам’яті. Такий збій дозволяє зловмисникам змусити програму працювати з даними поза буфером, що може призвести до пошкодження даних, збою роботи застосунків або навіть віддаленого виконання шкідливого коду. За даними Apple, обробка спеціально створеного файлу зображення могла спричинити пошкодження пам’яті та стати точкою входу для атаки.
Компанія підтвердила, що ця вразливість могла бути використана проти конкретних цілей у реальних умовах. У своєму повідомленні Apple заявила: “Ми знаємо про повідомлення, що ця проблема могла бути використана у надзвичайно складній атаці на певних цільових осіб”. Щоб закрити загрозу, покращили перевірку меж виділеної пам’яті, що запобігає можливості її використання.
Відомо, що виправлення вже доступні у таких версіях систем: iOS 18.6.2 та iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 та macOS Ventura 13.7.8. Перелік пристроїв, які отримали оновлення, є досить широким:
- iPhone XS та новіші моделі;
- iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 3-го покоління та новіші, iPad Pro 11 дюймів 1-го покоління та новіші, iPad Air з 3-го покоління, iPad з 7-го покоління та iPad mini з 5-го покоління;
- iPad Pro 12,9 дюйма 2-го покоління, iPad Pro 10,5 дюймів та iPad 6-го покоління;
- mac-комп’ютери з macOS Sequoia, Sonoma та Ventura.
Portaltele повідомляє, що це вже шоста вразливість нульового дня, виправлена Apple з початку року. Раніше компанія закрила подібні проблеми у січні – CVE-2025-24085, лютому – CVE-2025-24200, березні – CVE-2025-24201 та дві у квітні – CVE-2025-31200, CVE-2025-31201.
Фахівці з кібербезпеки наголошують, що хоча експлуатація CVE-2025-43300 наразі фіксувалася переважно у цілеспрямованих атаках, користувачам варто якомога скоріше встановити оновлення, щоб уникнути потенційних загроз у майбутньому. Як зазначають експерти, через специфіку помилки достатньо отримати шкідливе зображення, щоб ініціювати процес несанкціонованого доступу.
Раніше повідомлялося, що компанія Apple веде переговори з Google щодо можливого використання її моделі штучного інтелекту Gemini для оновлення свого голосового помічника Siri. Це партнерство допомогло б Apple скоротити відставання від конкурентів у сфері генеративного ШІ. Розглядаються також варіанти співпраці з OpenAI та Anthropic, але остаточне рішення ще не прийнято.