Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило экстренное предупреждение, описывающее три активно эксплуатируемые критические уязвимости в продуктах Apple. Эти недостатки безопасности, объединённые в высокотехнологичную цепочку атак под названием DarkSword, позволяют злоумышленникам получить полный контроль над устройствами, начиная от iPhone и заканчивая компьютерами Mac. Инцидент затрагивает миллионы пользователей по всему миру и демонстрирует, как умелое комбинирование, казалось бы, разрозненных ошибок приводит к созданию мощного оружия для цифрового шпионажа.
Анализ уязвимостей
Согласно данным CISA, все три уязвимости были официально добавлены в каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities) 20 марта 2026 года, что подтверждает факты их активного использования в реальных атаках. Цепочка DarkSword представляет собой многоэтапную атаку, нацеленную на фундаментальные компоненты операционных систем Apple. Атака обычно начинается с того, что жертву заманивают на специально созданный вредоносный веб-сайт через браузер Safari или встроенный браузер в приложении. Посещение такой страницы активирует первую уязвимость, связанную с повреждением памяти, что даёт злоумышленнику первоначальные права на выполнение кода внутри системы.
После получения этой начальной точки опоры атакующий принуждает устройство обработать в фоновом режиме вредоносное приложение. Это приложение, в свою очередь, использует классическое переполнение буфера для прямой записи в область памяти ядра операционной системы - её наиболее привилегированную и защищённую часть. Финальным шагом становится эксплуатация уязвимости, связанной с некорректной блокировкой ресурсов, что позволяет манипулировать памятью, общей для нескольких активных процессов. В результате злоумышленник закрепляется в системе на глубоком уровне, получая возможность беспрепятственно красть данные, следить за пользователем или использовать устройство как плацдарм для движения по корпоративной сети.
Детальный анализ выявленных уязвимостей показывает их широкий охват и серьёзность. Уязвимость CVE-2025-31277, связанная с переполнением буфера, позволяет специально сформированному веб-контенту вызвать повреждение памяти. Она затрагивает Safari, а также операционные системы iOS, iPadOS, macOS, watchOS, tvOS и visionOS. Уязвимость CVE-2025-43520, также являющаяся классическим переполнением буфера, даёт вредоносному приложению возможность вызвать неожиданное завершение работы системы или осуществить прямую запись в память ядра на всех перечисленных платформах. Наконец, проблема CVE-2025-43510, классифицируемая как некорректная блокировка, позволяет такому приложению вносить неожиданные изменения в память, совместно используемую разными процессами, что и обеспечивает злоумышленнику стабильный контроль.
Особую опасность этой цепочки эксплойтов определяет её исключительно широкий радиус поражения. Под угрозой оказывается практически каждое современное устройство Apple. Более того, начальный вектор заражения целиком полагается на стандартную обработку веб-контента. Это означает, что для компрометации устройства жертве не требуется загружать и устанавливать какие-либо видимые файлы. Достаточно просто посетить скомпрометированный сайт или перейти по обманной ссылке, чтобы запустить первую стадию атаки. Такой бесфайловый метод делает атаку крайне скрытной и повышает шансы на её успех.
В настоящее время нет подтверждённых данных об использовании DarkSword в атаках программами-вымогателями. Однако тот уровень доступа, который получают злоумышленники - на уровне ядра операционной системы, - делает эту цепочку чрезвычайно привлекательной для групп продвинутых постоянных угроз (APT). Такие группы, как правило, занимаются целенаправленным шпионажем и заинтересованы в максимально тихом и долгосрочном закреплении в системах жертв для сбора конфиденциальной информации.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-31277
- https://www.cve.org/CVERecord?id=CVE-2025-43520
- https://www.cve.org/CVERecord?id=CVE-2025-43510
