Компанията пусна извънредна актуализация за всички свои платформи, включително iOS, macOS и visionOS.

Apple започна разпространението на непланирани актуализации по сигурността за своите устройства, за да затвори две опасни уязвимости от типа „нулев ден“, които вече са били използвани в „изключително сложна атака“ срещу ограничен брой собственици на iPhone. Става дума за две дупки в сигурността – едната е свързана с CoreAudio (CVE-2025-31200), а другата – с RPAC (CVE-2025-31201). И двете уязвимости засягат всички основни операционни системи на компанията: iOS, macOS, tvOS, iPadOS и visionOS.

Според Apple проблемът с CoreAudio позволява на атакуващия да изпълни отдалечен код на устройството, като просто го принуди да обработи специално подготвен аудио файл. Тази уязвимост е открита от собствените експерти на Apple съвместно с групата за анализ на заплахите на Google. Втората уязвимост, в компонента RPAC, заобикаля механизма Point Authentication (PAC), който е важна защита срещу атаките срещу паметта в iOS. Тук авторството на откриването принадлежи единствено на Apple.

Компанията не разкрива подробности за това как точно уязвимостите са били използвани в реалните атаки, като посочва, че става въпрос за целенасочени атаки срещу отделни потребители, използващи „изключително сложни техники“. Нито Apple, нито Google все още не са направили допълнителни коментари.

Проблемите бяха отстранени в актуализациите на iOS 18.4.1, iPadOS 18.4.1, tvOS 18.4.1, macOS Sequoia 15.4.1 и visionOS 2.4.1. Списъкът на засегнатите устройства е обширен, включително всички модели iPhone, започвайки от XS, различни версии на iPad, включително Pro, Air и mini, както и всички модели Apple TV и шлема Vision Pro.

Въпреки че атаките са били целенасочени, Apple призовава всички потребители да инсталират актуализациите възможно най-скоро. Това са четвъртата и петата уязвимост от типа „нулев ден“, които Apple адресира от началото на годината. Първите три бяха отстранени през януари, февруари и март.