20 августа компания Apple выпустила внеочередное обновление для мобильных операционных систем iOS и iPadOS до версии 18.6.2. Обновление закрывает единственную уязвимость с идентификатором CVE-2025-43300. Проблема была обнаружена в подсистеме ImageIO, ответственной за обработку изображений. Уязвимость позволяла реализовать сценарий записи произвольных данных за пределами выделенного диапазона.
По данным Apple, ошибка в ImageIO активно эксплуатировалась на момент обнаружения в «продвинутых целевых атаках». Отправка на телефон потенциальной жертвы вредоносного изображения приводила к повреждению памяти, а дальнейшее развитие атаки, судя по всему, позволяло полностью скомпрометировать устройство Apple.
Помимо iOS и iPadOS, аналогичная проблема закрыта в macOS версий Ventura 13.7.8, Sonoma 14.7.8 и Sequoia 15.6.1, а также в iPadOS 17.7.10. Предыдущая уязвимость нулевого дня в мобильных ОС Apple была закрыта в июне: тогда речь шла о логической ошибке, возникающей при обработке ссылок на вредоносное изображение или видео в iCloud. C 2022 года компания Apple предлагает пользователям специальный режим Lockdown Mode, серьезно ограничивающий функциональность мобильного устройства, но значительно снижающий опасность взлома даже в результате эксплуатации еще незакрытой уязвимости.
Что еще произошло
Исследователи «Лаборатории Касперского» опубликовали подробный отчет о троянской программе GodRAT. Вредоносная программа была впервые обнаружена осенью 2024 года и распространялась под видом финансовых документов. Для сокрытия вредоносного кода применялась стеганография: вредоносный код был частично скрыт в изображениях. Целями атак стали финансовые организации в Гонконге, ОАЭ, Ливане, Иордании и Малайзии.
Компания CrowdStrike разбирает новые примеры атак типа ClickFix: когда пользователей обманом заставляют выполнять на компьютере вредоносные команды, приводящие к взлому устройства. Ранее мы писали о том, как ClickFix маскируется под «капчу»: чтобы доказать, что вы «не робот», вам предлагают вставить команду в окно терминала и выполнить ее. В свежем отчете CrowdStrike описывается более правдоподобная тактика. Злоумышленники создают веб-страницы, на которых содержится якобы решение определенной проблемы в macOS, — на случай, если не открываются веб-сайты или если имеются проблемы при подключении принтера. Для решения проблемы предлагается скопировать строку и выполнить ее в окне терминала. Команда скачивает из Сети вредоносный скрипт и выполняет его. В некоторых случаях страницы с вредоносными командами даже рекламировались в результатах поиска Google, а «полезные советы» также размещались на сервисе GitHub.
Крайне интересная публикация исследователя под ником Bobdahacker описывает проблемы с безопасностью приложения сети фаст-фуда McDonald's. Валидация бонусных баллов проводилась на стороне клиента, без верификации на сервере, что позволяло заказывать еду бесплатно. После того как компанию уведомили о проблеме, потребовалось больше трех месяцев, чтобы закрыть дыру. Автор отчета также нашел проблемы во внутреннем портале McDonald's, которые позволяли создавать новые учетные записи пользователя и получать доступ к приватным данным.
Исследователь нашел серьезную проблему во внутреннем портале компании Intel. Ошибка в процессе аутентификации позволяла получить доступ к информации о 270 тысячах сотрудников компании. Несмотря на наличие программы Bug Bounty, Intel не стала выплачивать вознаграждение первооткрывателю.
