Всё ещё пользуетесь iPhone X? Плохая новость — у вас в смартфоне 0Day. Хорошая новость — можете не покупать новый

leer en español

Apple WhatsApp Samsung iPhone уязвимость iOS zero-day
Всё ещё пользуетесь iPhone X? Плохая новость — у вас в смартфоне 0Day. Хорошая новость — можете не покупать новый
Apple WhatsApp Samsung iPhone уязвимость iOS zero-day

Устаревшие iPhone снова получают обновления, но причина настораживает.

image

Apple выпустила дополнительные обновления безопасности для старых моделей iPhone и iPad, закрыв уязвимость нулевого дня, которая ранее была устранена в свежих версиях iOS, iPadOS и macOS. Ошибка отслеживается как CVE-2025-43300 и связана с ошибкой записи за пределами выделенной памяти в библиотеке Image I/O, отвечающей за работу с графическими форматами. Этот дефект позволял обойти границы буфера и в ряде случаев приводил к удалённому исполнению кода.

Впервые исправление вышло 20 августа для iOS 18.6.2, iPadOS 18.6.2 и 17.7.10, а также для macOS Sequoia 15.6.1, Sonoma 14.7.8 и Ventura 13.7.8. Теперь аналогичный механизм защиты появился и в более старых релизах: iOS 15.8.5 и 16.7.12, а также iPadOS 15.8.5 и 16.7.12. В Apple уточнили, что корректировка затрагивает обработку изображений и исключает возможность повреждения памяти за счёт улучшенной проверки границ. Компания признала, что уязвимость применялась в «чрезвычайно сложной атаке» против отдельных жертв.

Список затронутых устройств весьма обширен. Среди iPhone это модели 6s всех версий, 7 всех версий, SE первого поколения, 8, 8 Plus и X. Из линейки iPad — Air 2, mini четвёртого поколения, 5-го поколения, Pro 9,7-дюймовый и Pro 12,9-дюймовый первого поколения. Кроме того, проблема затронула iPod touch седьмого поколения.

Инцидент оказался частью более сложной цепочки атак. В конце августа в WhatsApp была исправлена уязвимость Zero-Click CVE-2025-55177, которая в сочетании с CVE-2025-43300 применялась в таргетированных шпионских операциях. Некоторые пользователи WhatsApp получили уведомления о попытках внедрения продвинутого шпионского ПО. К кампании оказались причастны и другие вендоры: на прошлой неделе Samsung устранила уязвимость удалённого исполнения кода, которая также использовалась вместе с CVE-2025-55177 для атак на устройства под управлением Android.

Таким образом, CVE-2025-43300 стала уже шестым нулевым днём, который Apple пришлось закрывать в 2025 году. До этого компания устранила уязвимости в январе (CVE-2025-24085), феврале (CVE-2025-24200), марте (CVE-2025-24201) и дважды в апреле (CVE-2025-31200, CVE-2025-31201).