Apple выкатил срочные патчи для iOS, iPadOS и macOS, чтобы прикрыть свежеобнаруженную нулевую дыру, которая уже активно эксплуатируется. Уязвимость получила название CVE-2025-43300 и звучит как пароль от Wi-Fi, но на деле всё гораздо веселее: это out-of-bounds write в ImageIO, который может превратиться в memory corruption, если подсунуть жертве хитроумно сварганенное изображение.
Иными словами, глянул на «красивую картинку» — и твой девайс уже пляшет под чужую дудку.
По словам Apple, на уязвимость наткнулись внутри компании, но в реальности её уже успели использовать против конкретных целей. Прямого списка «кто кого» пока нет, но судя по формулировке, речь идёт о точечных атаках уровня «шпионское кино», а не массовой раздаче эксплойтов в Telegram-каналах.
Патч прилетел в следующих версиях:
-
iOS 18.6.2 и iPadOS 18.6.2 для всех свежих айфонов и айпадов начиная с iPhone XS и iPad Pro 3-го поколения.
-
iPadOS 17.7.10 для чуть более древних планшетов вроде iPad 6-го поколения.
-
macOS Ventura 13.7.8, Sonoma 14.7.8 и Sequoia 15.6.1 для всего макосятиного зоопарка.
Исправление традиционное — «улучшена проверка границ». Перевод с яблочного на человеческий: добавили if’чик там, где его не хватало.
Эта история довела счётчик нулевых дней у Apple в 2025 году уже до семи: CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 и вот теперь новый герой CVE-2025-43300.
А чтобы было совсем весело, в июле Apple уже латал Safari-баг в open-source компоненте (CVE-2025-6558), который Google заметил как эксплуатируемый в Chrome. Кажется, даже браузеры между собой уже играют в «передай нулевой день по кругу».
Если у вас iPhone, iPad или Mac — бегом на обновление.
Берегите себя и свои нервы.
📘 Понравилась статья?
Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.
