[TLP:CLEAR] Apple opravuje přes 60 zranitelností v různých produktech

Apple opravuje přes 60 zranitelností ve svých produktech. Vybrané z nich naleznete níže, zbývající jsou popsány na [1][2][3][4][5][6][7][8][9]. Produkty a jejich opravené verze: macOS - 13.7.6 [1], 14.7.6 [2], 15.5 [3] iOS - 18.5 [4] iPadOS - 17.7.7 [5], 18.5 [4] watchOS - 11.5 [6] tvOS - 18.5 [7] visionOS - 2.5 [8] Safari - 18.5 [9]

Apple macOS Sequoia - sandbox escape (CVE-2025-31244) CVSS 8.8 (High)

Autentizovanému lokálnímu útočníkovi je v systémech macOS Sequoia kvůli zranitelnosti v bezpečnostní vrstvě Quarantine umožněno obejít sandbox a uniknout z jeho izolace [10][2][3][4].

Zranitelnost se nachází v produktu macOS (macos) ve verzích >=15.0 AND <15.5.

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 12. 5. 2025.

Apple macOS Sequoia, macOS Sonoma - kernel memory corruption (CVE-2025-31246) CVSS 8.1 (High)

Autentizovanému vzdálenému útočníkovi je kvůli chybné správě paměti v implementaci protokolu AFP (Apple Filing Protocol) v systémech macOS Sequoia a Sonoma umožněno navázat spojení se škodlivým AFP serverem a způsobit poškození paměti jádra [11].

Zranitelnost se nachází v produktu macOS (macos) ve verzích (>=14.0 AND <14.7.6) OR (>=15.0 AND <15.5).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 12. 5. 2025.

Apple macOS Sequoia, macOS Sonoma, macOS Ventura - privilege escalation (CVE-2025-24274) CVSS 7.8 (High)

Autentizovanému lokálnímu útočníkovi je kvůli chybě v implementaci Mobile Device Service v systémech macOS Sequoia, Sonoma a Ventura umožněno zvýšit oprávnění škodlivé aplikace na úroveň root [12].

Zranitelnost se nachází v produktu macOS (macos) ve verzích (>=13.0 AND <13.7.6) OR (>=14.0 AND <14.7.6) OR (>=15.0 AND <15.5).

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 12. 5. 2025.

Apple iOS, iPadOS, macOS Sequoia, macOS Sonoma, macOS Ventura, visionOS - data leak (CVE-2025-30448) CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečným kontrolám oprávnění v komponentě iCloud Document Sharing v systémech iOS, iPadOS, macOS Sequoia, Sonoma a Ventura a visionOS umožněno zapnout sdílení složky na iCloud bez autentizace uživatele [13].

Zranitelnost se nachází v produktech:

  • iOS (ios) ve verzích <18.5
  • iPadOS (ipados) ve verzích (<17.7.7) OR (>=18.0 AND <18.5)
  • macOS (macos) ve verzích (>=13.0 AND <13.7.6) OR (>=14.0 AND <14.7.6) OR (>=15.0 AND <15.4)
  • visionOS (visionos) ve verzích <2.5

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Více informací:

Zranitelnost byla veřejně oznámena 12. 5. 2025.

Apple iOS, iPadOS, macOS Sequoia, macOS Sonoma, macOS Ventura, watchOS, tvOS, visionOS - kernel memory corruption (CVE-2025-31219) CVSS 8.1 (High)

Autentizovanému vzdálenému útočníkovi je v systémech Apple iOS, iPadOS, macOS Sequoia, Sonoma a Ventura, watchOS, tvOS a visionOS umožněno poškodit paměť jádra [14].

Zranitelnost se nachází v produktech:

  • iOS (ios) ve verzích <18.5
  • iPadOS (ipados) ve verzích (<17.7.7) OR (>=18.0 AND <18.5)
  • macOS (macos) ve verzích (>=13.0 AND <13.7.6) OR (>=14.0 AND <14.7.6) OR (>=15.0 AND <15.5)
  • watchOS (watchos) ve verzích <11.5
  • tvOS (tvos) ve verzích <18.5
  • visionOS (visionos) ve verzích <2.5

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 12. 5. 2025.

Apple iOS, iPadOS, macOS Sequoia, watchOS, tvOS, visionOS, Safari - memory corruption (CVE-2025-31204) CVSS 7.1 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli chybné správě paměti v komponentě WebKit v systémech iOS, iPadOS, macOS Sequoia, watchOS, tvOS a visionOS a v Safari umožněno pomocí sociálního inženýrství poškodit paměť při procesu zpracování škodlivého webového obsahu [15].

Zranitelnost se nachází v produktech:

  • iOS (ios) ve verzích <18.5
  • iPadOS (ipados) ve verzích <18.5
  • macOS (macos) ve verzích >=15.0 AND <15.5
  • watchOS (watchos) ve verzích <11.5
  • tvOS (tvos) ve verzích <18.5
  • visionOS (visionos) ve verzích <2.5
  • Safari ve verzích <18.5

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L

Více informací:

Zranitelnost byla veřejně oznámena 12. 5. 2025.


Za CESNET-CERTS Michaela Ručková dne 16. 5. 2025.

CESNET CERTS Logo