Apple снова затыкает дыру

Apple выкатил срочные патчи для iOS, iPadOS и macOS, чтобы прикрыть свежеобнаруженную нулевую дыру, которая уже активно эксплуатируется. Уязвимость получила название CVE-2025-43300 и звучит как пароль от Wi-Fi, но на деле всё гораздо веселее: это out-of-bounds write в ImageIO, который может превратиться в memory corruption, если подсунуть жертве хитроумно сварганенное изображение.

Иными словами, глянул на «красивую картинку» — и твой девайс уже пляшет под чужую дудку.

По словам Apple, на уязвимость наткнулись внутри компании, но в реальности её уже успели использовать против конкретных целей. Прямого списка «кто кого» пока нет, но судя по формулировке, речь идёт о точечных атаках уровня «шпионское кино», а не массовой раздаче эксплойтов в Telegram-каналах.

Патч прилетел в следующих версиях:

• iOS 18.6.2 и iPadOS 18.6.2 для всех свежих айфонов и айпадов начиная с iPhone XS и iPad Pro 3-го поколения.

• iPadOS 17.7.10 для чуть более древних планшетов вроде iPad 6-го поколения.

• macOS Ventura 13.7.8, Sonoma 14.7.8 и Sequoia 15.6.1 для всего макосятиного зоопарка.

Исправление традиционное — «улучшена проверка границ». Перевод с яблочного на человеческий: добавили if’чик там, где его не хватало.

Эта история довела счётчик нулевых дней у Apple в 2025 году уже до семи: CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 и вот теперь новый герой CVE-2025-43300.

А чтобы было совсем весело, в июле Apple уже латал Safari-баг в open-source компоненте (CVE-2025-6558), который Google заметил как эксплуатируемый в Chrome. Кажется, даже браузеры между собой уже играют в «передай нулевой день по кругу».

Если у вас iPhone, iPad или Mac — бегом на обновление. 

Берегите себя и свои нервы.