Компания Apple выпустила экстренные обновления безопасности для iOS/iPadOS, macOS, tvOS и visionOS, устраняющие две уязвимости нулевого дня (CVE-2025-31200, CVE-2025-31201).
CVE-2025-31200 и CVE-2025-31201
CVE-2025-31200 затрагивает CoreAudio, API, используемый устройствами Apple для обработки аудио. Уязвимость повреждения памяти может быть спровоцирована злонамеренно созданным медиафайлом: при обработке содержащегося в нем аудиопотока злоумышленники могут выполнить вредоносный код.
CVE-2025-31201 – проблема в RPAC (Return Pointer Authentication Code), функции безопасности, направленной на предотвращение атаки, которые позволяют злоумышленнику с возможностями чтения и записи обойти аутентификацию указателя. Apple устранила брешь в системе безопасности, удалив уязвимый код.
Обновить как можно скорее
CVE-2025-31200 был обнаружен компанией Apple и Группой анализа угроз Google (TAG), которая занимается выявлением и расследованием атак и других современных постоянных угроз. CVE-2025-31201 был отмечен компанией Apple.
Как это типично для Apple, компания не стала делиться подробностями об атаках, в ходе которых использовались эти уязвимости – нам остается довольствоваться тем, что они классифицировали атаки как «чрезвычайно сложные».
Аналогичную формулировку Apple использовала ранее в этом году, когда предоставляла исправление для CVE-2025-24200, уязвимости, позволявшей злоумышленникам, имеющим физический доступ к заблокированным устройствам, отключить режим USB Restricted Mode.
Последние атаки были направлены против конкретных людей, что означает, что пользователи Apple, не являющиеся журналистами, активистами, политиками, дипломатами, исследователями или руководителями в секретных областях, имеющими доступ к ценным данным, вряд ли подвергнутся серьезной опасности.
Тем не менее, всем пользователям следует как можно скорее установить предоставленные обновления безопасности.
Пользователям, подверженным высокому риску, следует включить режим блокировки на своих устройствах с iOS и macOS и проконсультироваться с экспертами по цифровой безопасности (например, в Access Nows Digital Security Helpline) о том, как улучшить свои методы обеспечения цифровой безопасности.
Комментарии (0)