Седьмой Zero-Day в 2025: Apple признала, что ваш iPhone мог взломать мем

Apple iOS zero-day уязвимость iPadOS macOS CVE-2025-43300 ImageIO
Седьмой Zero-Day в 2025: Apple признала, что ваш iPhone мог взломать мем
Apple iOS zero-day уязвимость iPadOS macOS CVE-2025-43300 ImageIO

Вы смотрите фото, а в это время iPhone уже взломан.

image

Apple выпустила обновления безопасности для iOS, iPadOS и macOS, закрывающие новую уязвимость нулевого дня (Zero-Day), которая уже используется в реальных атаках. Брешь получила идентификатор CVE-2025-43300 и затрагивает фреймворк ImageIO . Она связана с выходом за пределы памяти (out-of-bounds write) при обработке специально подготовленного изображения, что может приводить к повреждению памяти (Memory corruption) и выполнению произвольного кода. Компания уточнила, что проблема могла быть задействована в крайне изощрённых атаках против отдельных пользователей.

Уязвимость была обнаружена внутри Apple и устранена за счёт добавления строгой проверки границ. Исправления вошли в следующие версии систем:

  • iOS 18.6.2 и iPadOS 18.6.2 — iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, iPad mini 5-го поколения и новее
  • iPadOS 17.7.10 — iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
  • macOS Ventura 13.7.8 — компьютеры Mac под управлением macOS Ventura
  • macOS Sonoma 14.7.8 — компьютеры Mac под управлением macOS Sonoma
  • macOS Sequoia 15.6.1 — компьютеры Mac под управлением macOS Sequoia

Пока неизвестно, кто именно стоит за эксплуатацией CVE-2025-43300 и какие цели выбирались, однако контекст указывает на то, что речь идёт о целевых атаках с применением дорогостоящих инструментов. Сама Apple назвала инцидент крайне сложным по уровню реализации.

С начала 2025 года это уже седьмая уязвимость нулевого дня, закрытая компанией после подтверждения её использования в реальных условиях. Ранее были исправлены проблемы с идентификаторами CVE-2025-24085, CVE-2025-24200, CVE-2025-24201 , CVE-2025-31200, CVE-2025-31201 и CVE-2025-43200 . В июле также был устранён дефект в Safari ( CVE-2025-6558 ), связанный с компонентом с открытым исходным кодом и ранее задействованный злоумышленниками в атаках на браузер Google Chrome.