Большой разбор и всем предупреждение! Какие реальные уязвимости macOS используют хакеры в 2025 году05.11.2025 15:49

В прошлый раз мы разобрали несколько громких уязвимостей в iOS, всплывших на поверхность в 2025 году. Они частично затрагивали macOS и другие системы от Apple.

В этот раз сосредоточимся на уязвимостях и проблемах, специфичных для macOS.

КРАТКО

Ошибка при разборе аудиопотока в CoreAudio

▪️ Обнаружена: опубликована и исправлена в апрельских и майских апдейтах 2025 года как CVE-2025–31200.

▪️ Исправлена: macOS Sequoia 15.4.1 в апреле 2025 года.

▪️ Последствия: выполнение вредоносного кода на устройстве при обработке специально сформированного аудиофайла.

Apple зафиксировала факты эксплуатации этой уязвимости в «очень изощренных» целевых атаках на журналистов, политиков и общественных деятелей. Уязвимость использовалась в связке с другим багом — CVE-2025–31201, позволяющим обходить механизм Pointer Authentication.

В обоих случаях для реализации атаки не требовалось участие пользователя — достаточно было отправить на целевое устройство вредоносный аудиофайл. Это относит атаку к классу 0-click.

▪️ Как проходила атака: Ошибка возникала при разборе аудиопотока в CoreAudio. Хакер мог отправить на устройство специально сформированный аудиофайл, при обработке которого повреждалась память. Повреждение позволяло запустить на устройстве вредоносный код с последующей установкой хакерских программ или запуском инструкций злоумышленников.

◦ Назад к содержанию ◬

Некорректные права доступа к CoreServices

▪️ Обнаружена: в июле 2025 года. Багу присвоен идентификатор CVE-2025–43199.

▪️ Исправлена: macOS Sequoia 15.6, macOS Sonoma 14.7.7, macOS Ventura 13.7.7.

▪️ Последствия: злоумышленник мог получить права на выполнение полного спектра вредоносных действий на устройстве.

Внутри подсистемы CoreServices (базовые системные службы macOS) обнаружили ошибку при проверке прав. Установленная программа без админских прав могла отправить к уязвимой службе специально сформированный запрос, заставляющий систему поднять привилегии приложения до root.

Как правило, подобные приложения загружаются самим пользователями с сайтов, распространяющих пиратский софт, зараженный вредоносным кодом. Поэтому важно не допускать установку приложений из неизвестных источников — бесплатный сыр бывает только в мышеловке!

▪️ Как проходила атака: Apple не указала, использовалась ли эта уязвимость в реальных атаках. Однако сценарий эксплуатации настолько прост, что после публикации информации об уязвимости его могли начать использовать хакеры: получив root, злоумышленник мог менять системные файлы, выключать защиту, ставить вредоносное ПО, читать приватные данные других пользователей и выполнять другие зловредные действия.

◦ Назад к содержанию ◬

Ошибка в DiskArbitration, дающая права root любому приложению

▪️ Обнаружена: Apple открыто сообщила об уязвимости в июле 2025 года.

▪️ Исправлена: macOS Sequoia 15.6.

▪️ Последствия: вредоносное приложение получало права root на уязвимой системе, что позволяло злоумышленникам получить полный контроль над macOS-устройством.

В подсистеме управления дисками и правами доступа DiskArbitration оказались недостаточно строгие процессы проверки прав. Вредоносное приложение (без привилегий в системе) могло воспользоваться этой слабостью, чтобы выполнить действия, которое оно не могло выполнять.

Для конечного пользователя это самый опасный тип уязвимостей, поскольку эксплуатация не требует физического доступа и может быть скрыта внутри обычной программы. Apple решила проблему радикально, удалив уязвимый код и усилив ограничения.

▪️ Как проходила атака: вредоносное приложение запускалось в контексте пользователя без повышенных прав, вызывало уязвимый API/функцию DiskArbitration и, благодаря ошибке, получало возможность выполнить код с повышенными привилегиями или обратиться к защищенным ресурсам системы. После этого атакующий получает полный контроль над системой.

◦ Назад к содержанию ◬

Dock давал доступ к паролям и приватным данным пользователей

▪️ Обнаружена: Apple открыто сообщила об уязвимости в июле 2025 года.

▪️ Исправлена: macOS Sequoia 15.6 и macOS Sonoma 14.7.7.

▪️ Последствия: хакерское приложение могло получить доступ к защищенным пользовательским данным (protected user data): пароли в связке ключей, приватные файлы, данные приложений.

Уязвимость связана с одной из подсистем macOS, через которую приложения взаимодействуют с частью системного интерфейса — Dock/CoreServices. Внутри этой подсистемы обнаружилась логическая ошибка: из-за некорректной проверки входных данных или разрешений приложение могло вызвать код или API, который возвращал или раскрывал данные, помеченные в системе как защищенные (protected).

То есть программный путь, который должен был блокировать доступ к приватной информации, оказался слабо защищен, из-за чего вредоносная или уязвимая программа могла воспользоваться этим и прочитать данные, которые обычное приложение читать не должно.

В отличие от уязвимостей, дающих немедленный контроль над системой, эта проблема прежде всего компрометирует конфиденциальность и дает атакующему данные, которые могут использоваться в дальнейших атаках.

▪️ Как проходила атака: злоумышленник либо маскирует вредоносную логику в приложении, которое обманутый пользователь добровольно устанавливает на устройство, либо использует баг в доверенной программе, чтобы инициировать вызов проблемного API. После вызова уязвимого кода приложение получает в ответ сведения, которые оно не должно было видеть: элементы ключницы, метаданные учетных записей, внутренние файлы приложений или другая защищенная информация.

◦ Назад к содержанию ◬

Баг в IOHIDFamily отключал устройство

▪️ Обнаружена: публичная запись о проблеме появилась 15 сентября 2025 года.

▪️ Исправлена: macOS Sequoia 15.7 и macOS Sonoma 14.8.

▪️ Последствия: специально настроенное приложение может вызвать неожиданное завершение работы системы.

OHIDFamily — подсистема Apple, управляющая периферией: клавиатуры, мыши, сенсорные панели, некоторые контроллеры и другие HID-устройства. Она обрабатывает события от устройств ввода, парсит данные и передает их в систему и приложения. Поскольку подсистема работает на уровне, близком к ядру, ошибки в ней могут влиять на стабильность всей ОС.

CVE-2025–43302 — это ошибка типа out-of-bounds write, когда программа (или код, обрабатывающий данные) записывает байты за пределами отведенного буфера. В результате та область памяти, которая должна оставаться нетронутой, может быть перезаписана.

▪️ Как проходила атака: триггерить уязвимость могло либо локальное приложение, подающее некорректные или специально сформированные данные в IOHID-интерфейс, либо внешнее устройство, формирующее специальный поток HID-данных. При запуске уязвимого кода система совершает запись за пределами буфера и теряет стабильность, что приводит к неожиданному завершению работы приложения или всей ОС.

◦ Назад к содержанию ◬

SharedFileList помогал вредоносному ПО выходить за пределы песочницы

▪️ Обнаружена: зарегистрирована 29 июля 2025 года как CVE-2025–43250. Похожая, но отдельная проблема в той же подсистеме была зарегистрирована 15 сентября 2025 как CVE-2025–43291.

▪️ Исправлена: CVE-2025–43250 исправлена в macOS Sequoia 15.6, macOS Sonoma 14.7.7 и macOS Ventura 13.7.7; CVE-2025–43291 устранена в Sequoia 15.7 и Sonoma 14.8.

▪️ Последствия: специально подготовленное приложение могло вырваться из песочницы или изменить защищенные части файловой системы, чтобы получить доступ к чувствительным данным.

SharedFileList — это компонент macOS, управляющий списками общих/недавних файлов и путями к ним. Apple обнаружила в этой подсистеме проблемы с обработкой путей и проверками прав. В одном случае (CVE-2025–43250) была ошибка в валидации: неправильно обработанные пути позволяли приложению выйти из ограничений песочницы и получить доступ к ресурсам вне своего контейнера. В другом (CVE-2025–43291) была выявлена более серьезная проблема с проверками прав, из-за которой приложение могло модифицировать защищенные области файловой системы.

▪️ Как проходила атака: злоумышленник мог распространить приложение, использующее специально оформленные пути и вызовы SharedFileList. При эксплуатации CVE-2025–43250 такое приложение выходило за пределы песочницы и получало доступ к файлам вне своего контейнера. При эксплуатации CVE-2025–43291 приложение модифицировало защищенные части файловой системы. Поведение не всегда сопровождалось явными предупреждениями со стороны macOS, поэтому пользователь мог не заметить изменений и утечки данных.

◦ Назад к содержанию ◬

Как защититься

Большинство атак на macOS в 2025 году (CoreAudio RCE, DiskArbitration LPE, SharedFileList sandbox escape, Dock data leak) пользовались не только дырами в софте, но и небрежностью пользователей. Поэтому держите систему в актуальном состоянии, не ставьте сомнительное ПО и крайне осторожно выдавайте разрешения приложениям. Это позволит в разы снизить риски взлома.

Возьмите на заметку десять золотых правил цифровой гигиены:

▪️ Обновляйте систему и приложения сразу — патчи закрывают критические уязвимости.
▪️ Ставьте ПО только из App Store или с официальных сайтов, избегай пиратских сборок.
▪️ Не вводите пароли без тщательной проверки, где именно происходит ввод, кто запрашивает и для чего вводится.
▪️ Включите FileVault (шифрование диска) и SIP (System Integrity Protection).
▪️ Проверяйте и ограничивайте права приложений (камера, микрофон, контакты, доступ к файлам).
▪️ Отключите автозапуск вложений в почте и не открывай сомнительные медиа/архивы.
▪️ Не подключайте незнакомые USB/HID-устройства и осторожно относись к внешним аксессуарам.
▪️ Используйте VPN в публичных сетях и антивирус для дополнительного мониторинга.
▪️ Делайте регулярные резервные копии и проверяй логи при подозрениях.
▪️ Если заметили странное поведение системы — изолируйте устройство от остальных девайсов, обновите и запустите сканирование.