Компания Apple выпустила экстренные патчи для устранения двух уязвимостей нулевого дня. По информации компании, эти проблемы использовались в таргетированных и «чрезвычайно сложных атаках», нацеленных на владельцев iPhone.
Уязвимости были обнаружены в CoreAudio (CVE-2025-31200, 7,5 балла по шкале CVSS) и RPAC (CVE-2025-31201, 6,8 балла по шкале CVSS) и затрагивают iOS, macOS, tvOS, iPadOS и visionOS.
«Apple известно о том, что данные проблемы могли использоваться в чрезвычайно сложных атаках на отдельных пользователей iOS», — говорится в бюллетене безопасности Apple.
CVE-2025-31200 в CoreAudio была обнаружена собственными специалистами Apple, а также исследователями из Google Threat Analysis. Этот баг можно использовать для удаленного выполнения кода на устройстве через обработку аудиопотока во вредоносном и специально подготовленном медиафайле.
Уязвимость CVE-2025-31201 также обнаружили сами специалисты Apple. Это ошибка в RPAC позволяет злоумышленникам с доступом на чтение и запись обойти Pointer Authentication (PAC) — защитную функцию iOS, которая создана для защиты от уязвимостей памяти.
Пока Apple не раскрывает никаких подробностей о том, каким образом эти уязвимости применялись в атаках, и кто был их целью.
Проблемы были устранены в составе iOS 18.4.1, iPadOS 18.4.1, tvOS 18.4.1, macOS Sequoia 15.4.1, и visionOS 2.4.1.
Уязвимости затрагивают как старые, так и более новые модели устройств Apple:
- iPhone XS и новее;
- iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее;
- macOS Sequoia;
- Apple TV HD и Apple TV 4K (все модели);
- Apple Vision Pro.
