[TLP:CLEAR] Apple opravuje přes 60 zranitelností v různých produktech
Apple opravuje přes 60 zranitelností ve svých produktech. Vybrané z nich naleznete níže, zbývající jsou popsány na [1][2][3][4][5][6][7][8][9]. Produkty a jejich opravené verze: macOS - 13.7.6 [1], 14.7.6 [2], 15.5 [3] iOS - 18.5 [4] iPadOS - 17.7.7 [5], 18.5 [4] watchOS - 11.5 [6] tvOS - 18.5 [7] visionOS - 2.5 [8] Safari - 18.5 [9]
Autentizovanému lokálnímu útočníkovi je v systémech macOS Sequoia kvůli zranitelnosti v bezpečnostní vrstvě Quarantine umožněno obejít sandbox a uniknout z jeho izolace [10][2][3][4].
Zranitelnost se nachází v produktu macOS (macos) ve verzích >=15.0 AND <15.5.
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-31244 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-693: Protection Mechanism Failure at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 5. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli chybné správě paměti v implementaci protokolu AFP (Apple Filing Protocol) v systémech macOS Sequoia a Sonoma umožněno navázat spojení se škodlivým AFP serverem a způsobit poškození paměti jádra [11].
Zranitelnost se nachází v produktu macOS (macos) ve verzích (>=14.0 AND <14.7.6) OR (>=15.0 AND <15.5).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Více informací:
- CVE-2025-31246 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 5. 2025.
Autentizovanému lokálnímu útočníkovi je kvůli chybě v implementaci Mobile Device Service v systémech macOS Sequoia, Sonoma a Ventura umožněno zvýšit oprávnění škodlivé aplikace na úroveň root [12].
Zranitelnost se nachází v produktu macOS (macos) ve verzích (>=13.0 AND <13.7.6) OR (>=14.0 AND <14.7.6) OR (>=15.0 AND <15.5).
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-24274 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 5. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečným kontrolám oprávnění v komponentě iCloud Document Sharing v systémech iOS, iPadOS, macOS Sequoia, Sonoma a Ventura a visionOS umožněno zapnout sdílení složky na iCloud bez autentizace uživatele [13].
Zranitelnost se nachází v produktech:
- iOS (ios) ve verzích <18.5
- iPadOS (ipados) ve verzích (<17.7.7) OR (>=18.0 AND <18.5)
- macOS (macos) ve verzích (>=13.0 AND <13.7.6) OR (>=14.0 AND <14.7.6) OR (>=15.0 AND <15.4)
- visionOS (visionos) ve verzích <2.5
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2025-30448 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 5. 2025.
Autentizovanému vzdálenému útočníkovi je v systémech Apple iOS, iPadOS, macOS Sequoia, Sonoma a Ventura, watchOS, tvOS a visionOS umožněno poškodit paměť jádra [14].
Zranitelnost se nachází v produktech:
- iOS (ios) ve verzích <18.5
- iPadOS (ipados) ve verzích (<17.7.7) OR (>=18.0 AND <18.5)
- macOS (macos) ve verzích (>=13.0 AND <13.7.6) OR (>=14.0 AND <14.7.6) OR (>=15.0 AND <15.5)
- watchOS (watchos) ve verzích <11.5
- tvOS (tvos) ve verzích <18.5
- visionOS (visionos) ve verzích <2.5
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Více informací:
- CVE-2025-31219 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 5. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli chybné správě paměti v komponentě WebKit v systémech iOS, iPadOS, macOS Sequoia, watchOS, tvOS a visionOS a v Safari umožněno pomocí sociálního inženýrství poškodit paměť při procesu zpracování škodlivého webového obsahu [15].
Zranitelnost se nachází v produktech:
- iOS (ios) ve verzích <18.5
- iPadOS (ipados) ve verzích <18.5
- macOS (macos) ve verzích >=15.0 AND <15.5
- watchOS (watchos) ve verzích <11.5
- tvOS (tvos) ve verzích <18.5
- visionOS (visionos) ve verzích <2.5
- Safari ve verzích <18.5
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L
Více informací:
- CVE-2025-31204 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 5. 2025.
Odkazy
- [1] https://support.apple.com/en-us/122718
- [2] https://support.apple.com/en-us/122717
- [3] https://support.apple.com/en-us/122716
- [4] https://support.apple.com/en-us/122404
- [5] https://support.apple.com/en-us/122405
- [6] https://support.apple.com/en-us/122722
- [7] https://support.apple.com/en-us/122720
- [8] https://support.apple.com/en-us/122721
- [9] https://support.apple.com/en-us/122719
- [10] https://nvd.nist.gov/vuln/detail/CVE-2025-31244
- [11] https://nvd.nist.gov/vuln/detail/CVE-2025-31246
- [12] https://nvd.nist.gov/vuln/detail/CVE-2025-24274
- [13] https://nvd.nist.gov/vuln/detail/CVE-2025-30448
- [14] https://nvd.nist.gov/vuln/detail/CVE-2025-31219
- [15] https://nvd.nist.gov/vuln/detail/CVE-2025-31204
Za CESNET-CERTS Michaela Ručková dne 16. 5. 2025.