Корпорация Apple выпустила критическое обновление безопасности для операционной системы macOS Sequoia 15.7.1, устраняющее серьезную уязвимость в парсере шрифтов. Дефект, получивший идентификатор CVE-2025-43400, позволяет специально созданному файлу шрифта вызвать запись за пределами выделенной памяти.
Детали уязвимости
Уязвимость была исправлена 29 сентября 2025 года в составе обновления Sequoia 15.7.1. Хотя сообщений об активном использовании уязвимости в атаках не поступало, эксперты предупреждают, что ее можно комбинировать с другими ошибками для достижения удаленного выполнения кода.
Проблема затрагивает не только macOS Sequoia, но и другие платформы Apple. Исправление CVE-2025-43400 было включено в обновления для iOS 26.0.1, iPadOS 26.0.1, iOS 18.7.1, iPadOS 18.7.1, macOS Tahoe 26.0.1, macOS Sequoia 15.7.1, macOS Sonoma 14.8.1 и visionOS 26.0.1. Во всех случаях уязвимость может приводить к неожиданному завершению работы приложений или повреждению памяти процесса через вредоносный шрифт.
Эксплуатация уязвимости может вызывать неожиданные аварийные завершения приложений или повреждение памяти процесса на затронутых системах. Это создает потенциальную угрозу стабильности работы устройств и может быть использовано злоумышленниками для более сложных атак.
В соответствии со стандартной практикой Apple, подробности об этом и других исправлениях документированы в разделе "Security Content of macOS Sequoia 15.7.1". Компания раскрывает информацию об уязвимостях через идентификаторы CVE только после того, как становятся доступны соответствующие патчи.
Пользователям рекомендуется незамедлительно установить обновление для защиты своих систем. Устройства, настроенные на автоматическое обновление, получат исправление в следующем цикле обновлений. Тем, у кого включено ручное обновление, следует перейти в раздел "Системные настройки" > "Основные" > "Обновление ПО" для загрузки и установки macOS Sequoia 15.7.1.
Apple не указала на необходимость каких-либо дополнительных действий пользователей, кроме установки обновлений. Для разработчиков и команд безопасности на официальной странице выпусков безопасности Apple ведется полный список последних патчей и соответствующих ссылок на CVE.
Данная уязвимость подчеркивает необходимость бдительности при работе с файлами шрифтов из ненадежных источников. Даже внешне безобидные шрифты могут содержать код, предназначенный для эксплуатации ошибок парсинга, что потенциально может привести к повреждению данных или более серьезному компрометированию системы.
Своевременная установка обновления Sequoia 15.7.1 позволяет пользователям macOS закрыть этот вектор атаки. Организациям следует проверить свои политики обновления и убедиться, что все конечные точки, включая мобильные устройства и смешанные флоты операционных систем, защищены от CVE-2025-43400.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-43400
- https://support.apple.com/en-us/125329
- https://support.apple.com/en-us/125328
- https://support.apple.com/en-us/125338
- https://support.apple.com/en-us/125327
- https://support.apple.com/en-us/125330
- https://support.apple.com/en-us/125326
