В банке данных уязвимостей (BDU) была зарегистрирована новая серьёзная уязвимость под идентификатором BDU:2025-13997. Она затрагивает ключевой компонент специальных возможностей VoiceOver в операционных системах Apple iOS и iPadOS. Основная проблема связана со слабой криптографией паролей (CWE-261), что потенциально позволяет удалённому злоумышленнику получить доступ к защищаемой информации или вызвать отказ в обслуживании (Denial of Service, DoS).
Детали уязвимости
Данная уязвимость классифицируется как многофакторная и подтверждена самим производителем. Она присутствует во всех версиях iOS и iPadOS вплоть до 18.6. Следовательно, миллионы пользователей устройств Apple, таких как iPhone и iPad, могли подвергаться риску до момента установки последнего обновления безопасности.
Оценка по методологии CVSS (Common Vulnerability Scoring System) подчёркивает высокую степень угрозы. Согласно CVSS 2.0, базовая оценка составила 9.4, что соответствует высокому уровню опасности. Более современная версия CVSS 3.1 присвоила уязвимости критический уровень опасности с оценкой 9.1. В частности, вектор CVSS 3.1 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H) указывает на то, что для эксплуатации уязвимости не требуются специальные привилегии или взаимодействие с пользователем. Кроме того, атака может осуществляться через сеть, что приводит к значительному нарушению конфиденциальности и доступности системы.
Уязвимость также получила идентификатор CVE-2025-31229 в системе общих уязвимостей и воздействий (Common Vulnerabilities and Exposures). Это обеспечивает её стандартизированное отслеживание и упрощает обмен информацией между специалистами по кибербезопасности. Эксплуатация данной слабости, согласно классификации, может привести к несанкционированному сбору информации. Другими словами, злоумышленник может перехватить или расшифровать пароли и другие чувствительные данные, защищаемые через функцию VoiceOver.
На момент публикации новости наличие работающего эксплойта (программы или кода, использующего уязвимость) остаётся на стадии уточнения. Тем не менее, высокая оценка CVSS и характер уязвимости делают её привлекательной мишенью для киберпреступников. Следовательно, пользователям и корпоративным клиентам не следует задерживать установку обновлений.
Производитель, компания Apple, уже устранил проблему. Соответственно, единственным рекомендованным способом устранения уязвимости является обновление программного обеспечения до актуальной версии, выпущенной после iOS и iPadOS 18.6. Пользователям необходимо перейти в раздел «Настройки» -> «Основные» -> «Обновление ПО» и установить последнюю доступную прошивку. Более подробную информацию можно найти на официальной странице поддержки Apple.
Важно отметить, что VoiceOver - это функция экранного доступа, которая позволяет незрячим и слабовидящим пользователям взаимодействовать со своими устройствами. Она озвучивает элементы интерфейса, что делает безопасность её работы особенно критичной. Уязвимость в таком системном компоненте подчёркивает важность комплексного подхода к безопасности, при котором тестированию подвергаются все модули ОС, включая вспомогательные службы.
В заключение, инцидент с BDU:2025-13997 служит своевременным напоминанием для всех пользователей технологий Apple. Регулярное и своевременное обновление операционной системы остаётся самым эффективным методом защиты от известных уязвимостей. В условиях растущей изощрённости кибератак подобные меры предосторожности перестают быть опциональными и становятся строгой необходимостью для обеспечения конфиденциальности и целостности данных.
Ссылки
- https://bdu.fstec.ru/vul/2025-13997
- https://www.cve.org/CVERecord?id=CVE-2025-31229
- https://nvd.nist.gov/vuln/detail/CVE-2025-31229
- https://support.apple.com/en-us/124147
- http://seclists.org/fulldisclosure/2025/Jul/30
