Apple випустила термінові оновлення для усунення ще однієї уразливості нульового дня, яка була використана в “надзвичайно складній атаці”.

Ця проблема безпеки, позначена як CVE-2025-43300, викликана уразливістю “запису за межами виділеної області”, виявленою дослідниками безпеки Apple у фреймворку Image I/O, який дозволяє програмам читати та записувати більшість формати зображень.

Запис за межами виділеної області відбувається, коли зловмисники успішно використовують такі вразливості, надаючи вхідні дані до програми, що призводить до запису даних за межами виділеного буфера пам’яті. Це може призвести до аварійного завершення програми, корупції даних або, у найгіршому випадку, до виконання коду з віддаленого доступу.

Apple повідомила, що їй відомий звіт про те, що ця проблема могла бути використана в “надзвичайно складній атаці” проти окремо обраних осіб.

Цю уразливість було усунено завдяки покращеній перевірці меж. Обробка шкідливого зображення може призвести до корупції пам’яті.

Apple вирішила цю проблему за допомогою покращеної перевірки меж у версіях iOS 18.6.2 та iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 та macOS Ventura 13.7.8.

Список пристроїв, на які вплинула ця уразливість нульового дня, є досить широким, оскільки її наслідки стосуються як старих, так і нових моделей, зокрема:

• iPhone XS та новіші,
• iPad Pro 13-дюймів, iPad Pro 12.9-дюймів 3-го покоління та новіші, iPad Pro 11-дюймів 1-го покоління та новіші, iPad Air 3-го покоління та новіші, iPad 7-го покоління та новіші, iPad mini 5-го покоління та новіші, iPad Pro 12.9-дюймів 2-го покоління, iPad Pro 10.5-дюймів, та iPad 6-го покоління,
• та комп’ютери Mac, що працюють на macOS Sequoia, Sonoma та Ventura.

Компанія поки що не пов’язала виявлення проблеми з одним із своїх дослідників та ще не надала жодної інформації про атаки, які вона описала як “надзвичайно складні”.

Хоча ця уразливість, ймовірно, використовується лише в цільових атаках, настійно рекомендується вчасно встановити сьогоднішні оновлення безпеки, щоб запобігти потенційним атакам.

З цією уразливістю Apple виправила загалом шість нульових днів, які використовувалися в диких атаках з початку року, перша з яких відбулася в січні (CVE-2025-24085), друга в лютому (CVE-2025-24200), третя в березні (CVE-2025-24201) та ще дві в квітні (CVE-2025-31200 та CVE-2025-31201).

У 2024 році компанія виправила шість інших активно експлуатованих нульових днів: один у січні, два в березні, четвертий у травні та два інші в листопаді.