Эпидемия взломов iPhone достигла пика — Apple срочно латает две 0-day уязвимости после подтвержденных атак
NewsMakerСедьмая атака за год поставила компанию в критическое положение.
Apple выпустила внеплановые патчи, закрывающие две уязвимости нулевого дня, которые уже использовались в реальных атаках. В компании подтвердили, что речь идёт о сложной технической эксплуатации, направленной на ограниченный круг людей, а не о массовом заражении. Обе проблемы затрагивали устройства с версиями iOS до выхода iOS 26 и были устранены одним пакетом исправлений.
Уязвимости зарегистрированы под идентификаторами CVE-2025-43529 и CVE-2025-14174 . По информации Apple, они применялись в рамках одной и той же активности, однако каких-либо деталей о сценарии атак или способах доставки компания раскрывать не стала, ограничившись формулировкой о «чрезвычайно сложной атаке» на конкретных пользователей.
CVE-2025-43529 представляет собой ошибку use-after-free в WebKit — браузерном движке, который используется в Safari и во всех сторонних браузерах на iOS. Проблема позволяет добиться удалённого выполнения кода при обработке специально подготовленного веб-контента. Обнаружением этой проблемой занималась Google Threat Analysis Group.
Вторая брешь, CVE-2025-14174, также находится в WebKit и связана с повреждением памяти. Такой дефект может приводить к некорректной работе с областями памяти и создавать условия для дальнейшей эксплуатации. Над её выявлением работала команда Apple совместно с той же исследовательской группой Google.
Apple выпустила внеплановые патчи, закрывающие две уязвимости нулевого дня, которые уже использовались в реальных атаках. В компании подтвердили, что речь идёт о сложной технической эксплуатации, направленной на ограниченный круг людей, а не о массовом заражении. Обе проблемы затрагивали устройства с версиями iOS до выхода iOS 26 и были устранены одним пакетом исправлений.
Уязвимости зарегистрированы под идентификаторами CVE-2025-43529 и CVE-2025-14174 . По информации Apple, они применялись в рамках одной и той же активности, однако каких-либо деталей о сценарии атак или способах доставки компания раскрывать не стала, ограничившись формулировкой о «чрезвычайно сложной атаке» на конкретных пользователей.
CVE-2025-43529 представляет собой ошибку use-after-free в WebKit — браузерном движке, который используется в Safari и во всех сторонних браузерах на iOS. Проблема позволяет добиться удалённого выполнения кода при обработке специально подготовленного веб-контента. Обнаружением этой проблемой занималась Google Threat Analysis Group.
Вторая брешь, CVE-2025-14174, также находится в WebKit и связана с повреждением памяти. Такой дефект может приводить к некорректной работе с областями памяти и создавать условия для дальнейшей эксплуатации. Над её выявлением работала команда Apple совместно с той же исследовательской группой Google.