0day-баг в системе авторизации поставил под угрозу миллионы iPhone и iPad,сообщает securitylab.ru.
Фото:pixabay.com
Apple выпустила внеплановое обнoвление безопасности для iOS и iPadOS, закрывающее уязвимoсть CVE-2025-24200 , которая уже использовалась в реальных атаках. Проблема связана с ошибкой авторизации, позволяющей злоумышленникам отключать режим ограниченного доступа USB на заблокированных устройствах, что делает их уязвимыми для кибератак.
Для эксплуатации уязвимости требуется физический доступ к устройству. Режим ограниченного доступа USB, впервые представленный в iOS 11.4.1, предотвращает передачу данных через USB, если устройство не было разблокировано и подключено к аксессуарам в течение последнего часа. Эта мера защиты направлена на противодействие цифровым криминалистическим инструментам, таким как Cellebrite и GrayKey, используемым правоохранительными органами.
Apple не раскрывает дополнительных деталей о проблеме, но уточняет, что уязвимость была устранена за счёт улучшенного управления состоянием системы. Также компания признаёт, что ошибка могла использоваться в сложных атаках против определённых целей. Сообщил об этой уязвимости исследователь безопасности Билл Марчак из The Citizen Lab при Университете Торонто.
Обновление доступно для следующих устройств и операционных систем:
- iOS 18.3.1 и iPadOS 18.3.1 — iPhone XS и более поздние модели, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения и более поздние модели, iPad Pro 11 дюймов 1-го поколения и более поздние модели, iPad Air 3-го поколения и более поздние модели, iPad 7-го поколения и более поздние модели, iPad mini 5-го поколения и более поздние модели
- iPadOS 17.7.5 — iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения
Каждая новая уязвимость — это напоминание о том, что цифровая безопасность требует постоянного обновления. Пока одни ищут способы защиты, другие находят лазейки, и этот цикл никогда не заканчивается.
Источник securitylab.ru