Apple Patches Два ну-нулевых дня, используемых в «чрезвычайно сложных» атаках
techrepublic

Apple Patches Два ну-нулевых дня, используемых в «чрезвычайно сложных» атаках

18 апреля 2025 г.

Apple развернула аварийные обновления, чтобы исправить два серьезных недостатка безопасности, которые активно эксплуатировались в целевых атаках на iPhone и других устройств Apple. Исправления, выпущенные 16 апреля в рамках iOS 18.4.1 и MacOS Sequoia 15.4.1, адресат уязвимостей нулевого дня.

Apple сказала, что эти ошибки использовались в «чрезвычайно сложной атаке на конкретных целевых людей на iOS».

Внутри уязвимостей iOS и macOS

Две ошибки, отслеживаемые CVE-2015-31200 и CVE-2015-31201, влияют на компоненты программного обеспечения Apple и RPAC.

    CVE-2025-31200 (CoreAudio): эта ошибка позволяет хакерам взять контроль над устройством, просто обманывая его в обработке вредоносного медиа-файла. Apple приписывала открытие своей внутренней команде и исследователям из группы анализа угроз Google - подразделения, известного о отслеживании продвинутых кибератак, часто связанных с государственными субъектами. CVE-2025-31201 (RPAC): этот недостаток влияет на механизм безопасности, называемый аутентификацией указателя, предназначенный для предотвращения атак памяти. Хакеры, которые читали и пишут доступ к устройству, могут обойти эту защиту и угнать систему. Apple нашла и исправила эту ошибку внутренне, удалив уязвимый код.

Какие устройства Apple были затронуты?

В то время как Apple не говорила, кто стоял за атаками или сколько людей пострадало, язык, который использовала компания - «конкретные целевые люди» - убедительно предполагает, что это не случайные хаки, а преднамеренные и точные операции. Это, в сочетании с участием Google, подняло спекуляции о возможных связях с поддерживаемыми правительством кампаний наблюдения.

Затронутые устройства включают:

    iPhone с iPhone XS и новее. iPad от 7 -го поколения и новее. Mac, управляющие macOS Sequoia. Все модели Apple TV HD и Apple TV 4K. Apple Vision Pro гарнитура.

Растущий список нулевых дней

Эти последние исправления приносят количество нулевых дней, исправленных Apple в этом году до пяти. Ранее уязвимости были рассмотрены в январе, феврале и марте. Apple, как правило, сохраняет подробную информацию о текущих эксплойтах под обертыванием, и этот случай ничем не отличается. Компания не поделилась именно тем, как использовались ошибки.

Подписаться на еженедельный бюллетень Apple Хотите ли вы советы для iPhone и Mac или последние предприятия Apple News, мы предоставили вам вас. Доставлен вторник Адрес электронной почты Подписавшись на получение нашей рассылки, вы соглашаетесь с нашими Условиями использования и политикой конфиденциальности. Вы можете отказаться от подписки в любое время. Подписаться
Подписаться на еженедельный бюллетень Apple Хотите ли вы советы для iPhone и Mac или последние предприятия Apple News, мы предоставили вам вас. Доставлен вторник Адрес электронной почты Подписавшись на получение нашей рассылки, вы соглашаетесь с нашими Условиями использования и политикой конфиденциальности. Вы можете отказаться от подписки в любое время. Подписаться
Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE