В отчете Oligo Security достаточно сложно разобраться, в том числе потому, что уязвимостей было найдено много: в итоге около десятка проблем получили идентификаторы CVE. У всех уязвимостей, впрочем, есть общая причина: недостаточная валидация данных, поступающих от потенциально вредоносного инициатора соединения по протоколу AirPlay. Параметры соединения и передачи данных передаются в формате .plist. Манипуляция этими параметрами со стороны атакующего приводит, в зависимости от ситуации, к отказу в обслуживании или даже выполнению произвольного кода на атакуемой системе.
Исследователи показали три конкретных сценария атаки. Один из них, с использованием уязвимости CVE-2025-24252, может приводить к выполнению вредоносного кода на компьютере под управлением macOS, в том случае если пользователь задаст возможность подключения к этому устройству по AirPlay от кого угодно или от любых систем в локальной сети. Для успешного проведения атаки жертва должна подтвердить запрос на подключение, но другая уязвимость (CVE-2025-24206) приводит к тому, что запрос не выводится. В результате получается атака типа zero-click, которая, впрочем, все равно предполагает нестандартную конфигурацию AirPlay.
Была также показана атака на беспроводную колонку фирмы Bose, с потенциальным перехватом контроля над этим устройством. На видеодемонстрации исследователи выводят на дисплей колонки произвольное изображение, но в теории контроль над беспроводной колонкой может быть использован и по-другому, например для прослушивания переговоров через встроенный микрофон.
Третья демонстрация показывает атаку на автомобильную мультимедийную систему, поддерживающую технологию CarPlay. Исследователи также квалифицируют эту атаку как zero-click, хотя потенциальный злоумышленник для начала должен быть подключен к точке доступа Wi-Fi, создаваемой мультимедийным устройством. Потенциальным последствием такой атаки также может быть подслушивание переговоров в салоне автомобиля, но авторы отчета допускают и более обширный контроль над мультимедийной системой.
В целом, несмотря на большой ассортимент обнаруженных ошибок, в основном связанных с недостаточной валидацией данных, предложенные атаки не выглядят слишком серьезными. Хотя бы по той причине, что найденные проблемы уже были закрыты компанией Apple для собственных устройств. Настоящей проблемой являются устройства третьих производителей, реализующих поддержку AirPlay, как правило, в режиме приема данных. Поддержка AirPlay реализована в них с помощью предоставляемого Apple SDK, но также может использовать одну из опенсорсных реализаций, созданных с помощью обратного инжиниринга этого проприетарного протокола.
И вот здесь возникают обоснованные сомнения в том, что данные уязвимости когда-либо будут закрыты. Исследователи предполагают, что найденные ими проблемы могут быть задействованы даже в атаках на корпоративные сети, когда, например, аудиоустройство в переговорной комнате компрометируется и используется либо для слежки, либо для дальнейшего развития атаки. Это предположение пока не было подтверждено, но в целом имеет смысл: если через AirPlay получится взломать устройство с весьма обширной функциональностью, а также с полноценным доступом к локальной сети, это может привести к печальным последствиям.
Что еще произошло
Еще одну уязвимость в решениях Apple Microsoft. Компанией был обнаружен способ «побега из «песочницы»» в операционной системе macOS. Уязвимость CVE-2025-31191 была найдена в ходе исследования достаточно стандартного вида атак с использованием макросов в документе Microsoft Office. Хотя авторы отчета и признают, что атака сложна в исполнении, потенциально она может приводить к полному взлому системы.
Издание Ars Technica о том, что Microsoft для новых пользовательских учетных записей на своих ресурсах по умолчанию будет использовать парольные фразы (passkey). Такой метод позволяет входить в учетную запись вообще без использования пароля, путем подтверждения входа, например, на смартфоне. У нововведения, впрочем, есть и небольшой нюанс в виде необходимости устанавливать на телефон приложение Microsoft Authenticator — сторонние решения не поддерживаются.
Исследователи компании Google очередной отчет об эволюции уязвимостей нулевого дня. Всего за 2024 год было зафиксировано 75 уязвимостей, которые уже эксплуатировались на момент обнаружения, — меньше, чем в 2023 году (98). При этом отмечается, что ассортимент корпоративных решений, атакуемых с использованием уязвимостей zero-day, расширяется. 44% уязвимостей в 2024 году были найдены именно в бизнес-решениях, а не в пользовательских. В 2023 году доля таких уязвимостей составляла 37%. Наиболее часто атакуются сетевые приложения и средства безопасности. Значительная доля атак с использованием таких уязвимостей проводилась в целях кибершпионажа.
