[TLP:CLEAR] Apple opravuje přes 80 zranitelností v různých produktech

Apple opravuje více než 80 zranitelností ve svých produktech. Vybrané z nich naleznete níže, zbývající jsou popsány na [1][2]. Produkty a jejich opravené verze: macOS - Sequoia 15.6 [3], Sonoma 14.7.7 [4], Ventura 13.7.7 [5] iOS - 18.6 [6] iPadOS - 18.6 [6], 17.7.9 [7] watchOS - 11.6 [8] tvOS - 18.6 [9] visionOS - 2.6 [10] Safari - 18.6 [11]

Apple macOS Sequoia, macOS Sonoma, macOS Ventura - protected filesystem modification (CVE-2025-43194) CVSS 9.8 (Critical)

Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci vstupu v komponentě PackageKit v systémech macOS Sequoia, Sonoma a Ventura umožněno modifikovat chráněné části souborového systému [12].

Zranitelnost se nachází v produktu macOS ve verzích (<13.7.7) OR (>=14.0 AND <14.7.7) OR (>=15.0 AND <15.6).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 29. 8. 2025.

Apple macOS Sequoia, macOS Sonoma - privilege escalation (CVE-2025-43256) CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné správě stavů v komponentě StorageKit v systémech macOS Sequoia a Sonoma umožněno pomocí škodlivé aplikace získat oprávnění root [13].

Zranitelnost se nachází v produktu macOS ve verzích (>=14.0 AND <14.7.7) OR (>=15.0 AND <15.6).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 29. 8. 2025.

Apple macOS Sequoia, Safari, iOS, iPadOS, watchOS, tvOS, visionOS - memory corruption (CVE-2025-31278) CVSS 7.1 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli nesprávné práci s pamětí v komponentě WebKit v systémech macOS Sequoia, Safari, iOS, iPadOS, watchOS, tvOS a visionOS umožněno pomocí sociálního inženýrství a speciálně vytvořené webové stránky poškodit data v paměti [14].

Zranitelnost se nachází v produktech:

  • Safari ve verzích <18.6
  • iPadOS ve verzích (<17.7.9) OR (>=18.0 AND <18.6)
  • iOS ve verzích <18.6
  • macOS ve verzích >=15.0 AND <15.6
  • tvOS ve verzích <18.6
  • visionOS ve verzích <2.6
  • watchOS ve verzích <11.6

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L

Více informací:

Zranitelnost byla veřejně oznámena 29. 8. 2025.

Apple iOS, iPadOS - sensitive information disclosure (CVE-2025-31276) CVSS 5.3 (Medium)

Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné správě stavů v systémech iOS a iPadOS umožněno načíst vzdálený obsah v konceptu e-mailu (Mail Draft) uživatele, ačkoliv má uživatel možnost „Načíst vzdálené obrázky“ ("Load Remote Images") vypnutou [15].

Zranitelnost se nachází v produktech:

  • iPadOS ve verzích (<17.7.9) OR (>=18.0 AND <18.6)
  • iOS ve verzích <18.6

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Více informací:

Zranitelnost byla veřejně oznámena 29. 8. 2025.

Apple macOS Sequoia, macOS Sonoma, macOS Ventura - sensitive information disclosure (CVE-2025-43259) CVSS 4.6 (Medium)

Neautentizovanému útočníkovi s fyzickým přístupem k uzamčenému zařízení je kvůli nedostatečnému skrytí citlivých údajů v komponentě WindowServer v systémech macOS Sequoia, Sonoma a Ventura umožněno tyto informace zobrazit [16].

Zranitelnost se nachází v produktu macOS Sequoia ve verzích (<13.7.7) OR (>=14.0 AND <14.7.7) OR (>=15.0 AND <15.6).

CVSS: CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Více informací:

Zranitelnost byla veřejně oznámena 29. 8. 2025.

Za CESNET-CERTS Michaela Ručková dne 1. 8. 2025.

CESNET CERTS Logo