Федеральные власти предупреждают пользователей iPhone и Android: подтверждены атаки «нулевого дня»

Опасный декабрь продолжается. Правительство США только что предупредило пользователей iPhone (и других продуктов Apple) о необходимости немедленно обновить все устройства, поскольку атаки уже начались. Пользователи Samsung, Pixel и других устройств Android уже получили аналогичное предупреждение.
В последнем предупреждении американского агентства по кибербезопасности говорится, что CVE-2025-43529, затрагивающая iOS и другие продукты Apple, «является уязвимостью типа use-after-free в WebKit. Обработка вредоносного веб-контента может привести к повреждению памяти». Это затрагивает Safari и браузеры и приложения, не относящиеся к Apple, которые используют WebKit.

При обновлении своих продуктов и предупреждении о готовящихся атаках Apple подтвердила, что CVE-2025-14174 также подвергается атакам. Эта уязвимость уже была предметом предупреждения CISA для всех пользователей Google Chrome и других браузеров Chromium.
Американское агентство по кибербезопасности предупреждает: «Google Chromium содержит уязвимость в ANGLE, связанную с доступом к памяти за пределами границ, которая может позволить удаленному злоумышленнику получить доступ к памяти за пределами границ через специально созданную HTML-страницу». Вы можете увидеть закономерность.

Опасный декабрь начался с предупреждения Google о том, что Android подвергается атаке. Операционная система Google получила два предупреждения от CISA. CVE-2025-48572 и CVE-2025-48633 представляют собой угрозы повышения привилегий и раскрытия информации для платформы Android.
Все это происходит под влиянием коммерческого шпионского ПО, созданного с корыстными целями. Начинается все с целевых атак на конкретных пользователей, многих из которых Apple и Google предупредили напрямую. Но на этом все не заканчивается. «Это быстро станет обязательным инструментом для целого ряда злоумышленников», — говорит Джеймс Мод из BeyondTrust.

Обязательная оперативная директива CISA (BOD) обязывает федеральных сотрудников обновить или прекратить использование затронутых устройств. Крайний срок для Android — 23 декабря. Крайний срок для Chrome — 2 января. Крайний срок для iPhone и других устройств Apple — 5 января.
CISA заявляет, что, хотя ее BOD применяется только к федеральным агентствам, она «настоятельно призывает все организации снизить свою уязвимость перед кибератаками, уделяя приоритетное внимание своевременному устранению уязвимостей, включенных в каталог (известных уязвимостей)».

Команда Societal News обновила 28 декабря 2025 г.