Apple терміново випустила позапланові оновлення безпеки для усунення критичної 0-day уразливості CVE-2025-43300, яка активно використовується зловмисниками у цільових кібератаках. Ця загроза впливає на широкий спектр пристроїв Apple і потребує негайної реакції користувачів.
Технічний аналіз уразливості CVE-2025-43300
Виявлена експертами Apple уразливість являє собою помилку запису за межами виділеної області пам’яті (out-of-bounds write) у фреймворку Image I/O. Цей критично важливий компонент відповідає за обробку зображень різних форматів в операційних системах Apple та використовується численними додатками для читання і запису графічних файлів.
Механізм експлуатації базується на обробці спеціально створених шкідливих зображень, які можуть призвести до пошкодження пам’яті пристрою. У найгіршому сценарії це відкриває можливість для віддаленого виконання довільного коду, надаючи кіберзлочинцям повний контроль над скомпрометованою системою.
Масштаб впливу та вразливі пристрої
Уразливість CVE-2025-43300 впливає на значний парк пристроїв Apple, включаючи як сучасні, так і застарілі моделі. Компанія випустила виправлення для наступних версій операційних систем:
Мобільні пристрої:
• iOS 18.6.2 та iPadOS 18.6.2 для найновіших пристроїв
• iPadOS 17.7.10 для пристроїв попереднього покоління
Настільні системи:
• macOS Sequoia 15.6.1
• macOS Sonoma 14.7.8
• macOS Ventura 13.7.8
Деталі цільової кібератаки
Представники Apple підтвердили, що CVE-2025-43300 використовувалась у рамках “надзвичайно витонченої атаки”, спрямованої проти конкретних осіб. Хоча компанія не розкриває подробиці інциденту, така формула вказує на можливу причетність до атаки державних хакерських груп або професійних кіберзлочинців.
Цільові атаки з використанням 0-day уразливостей традиційно застосовуються для компрометації високоцінних цілей, включаючи державних чиновників, журналістів, активістів та представників бізнес-еліти.
Методи усунення критичної уразливості
Інженери Apple усунули проблему шляхом вдосконалення механізмів перевірки меж пам’яті (bounds checking) у фреймворку Image I/O. Нові алгоритми контролю запобігають записам за межами виділених областей пам’яті при обробці потенційно шкідливих зображень.
Статистика 0-day загроз в екосистемі Apple
CVE-2025-43300 стала вже шостою 0-day уразливістю, усуненою Apple у поточному році. Попередні критичні загрози включали CVE-2025-24085 (січень), CVE-2025-24200 (лютий), CVE-2025-24201 (березень), а також CVE-2025-31200 та CVE-2025-31201 (квітень).
Така інтенсивність виявлення та усунення 0-day уразливостей свідчить про зростаючу увагу кіберзлочинців до екосистеми Apple та необхідність постійної пильності з боку користувачів.
Власникам пристроїв Apple категорично рекомендується негайно встановити доступні оновлення безпеки. Регулярне оновлення програмного забезпечення залишається однією з найефективніших заходів захисту від сучасних кіберзагроз, особливо враховуючи зростаючу складність та витонченість атак на мобільні та настільні платформи. Своєчасна установка патчів безпеки є критично важливою для захисту особистих даних та забезпечення стабільної роботи пристроїв.
