Apple устранила первую уязвимость нулевого дня 2025 года

Apple устранила уязвимость в программном обеспечении своих устройств, включая iPhone, iPad, очки Vision Pro, Apple TV и macOS Sequoia, предупредив, что злоумышленники уже использовали эту уязвимость в атаках.

Уязвимость, получившая идентификатор CVE-2025-24085 , представляет собой ошибку use-after-free() в компоненте CoreMedia , который отвечает за обработку аудио и видео на устройствах Apple. Уязвимость была исправлена за счет улучшенного управления памятью.

Детали эксплуатации уязвимости и информация о тех, кто ее использовал, пока остаются неизвестными. Сообщается, что вредоносное приложение может повысить свои привилегии в системе. Apple подтвердила, что проблема активно использовалась против устройств iOS и затрагивала версии до iOS 17.2. Это первая уязвимость нулевого дня, зарегистрированная компанией в 2025 году.

В обновлениях безопасности Apple уточнила: «Вредоносное приложение может повысить привилегии. Apple известно о сообщении, что эта проблема могла быть активно использована против версий iOS до iOS 17.2».

Apple не указала исследователя или группу, обнаружившую CVE-2025-24085, а также пока не предоставила CVSS-рейтинг и дополнительные детали. Пользователям рекомендуется обновить устройства, чтобы предотвратить возможное использование эксплойта на других ОС Apple.

Уязвимость затрагивает ряд устройств, включая iPhone и iPad. Обновления iOS 18.3 и iPadOS 18.3 доступны для iPhone XS и более новых моделей, а также для iPad Pro (13 и 12.9 дюймов), iPad Air (3-го поколения и новее), iPad (7-го поколения и новее) и iPad mini (5-го поколения и новее).

Для устранения уязвимости пользователям очков Apple Vision Pro необходимо обновиться до visionOS 2.3 , владельцам Apple TV — до tvOS 18.3 , а пользователям macOS Sequoia — до версии 15.3 . Обновление также доступно для Apple Watch Series 6 и более новых устройств с watchOS 11.3 .

Помимо CVE-2025-24085, обновления устраняют множество других уязвимостей. Например, CVE-2025-24137 в iOS позволяла запускать код через AirPlay, CVE-2025-24145 могла раскрыть номер телефона пользователя через системные логи, а CVE-2025-24107 и CVE-2025-24159 позволяли получить root-доступ и запускать код с привилегиями ядра. Уязвимость CVE-2025-24128 в Safari позволяла изменять адресную строку для подмены ссылки.

Отдельно вышли обновления для macOS Sonoma 14.7.3 и Ventura 13.7.3 , включающие исправления безопасности, в том числе для CVE-2025-24159 в ядре.