Albisteak

Apple-en segurtasuna eguneratzea - 2025eko Maiatza

Argitalpen-data: 

Laburpen exekutiboa

Azken hilabetean, Apple-ek segurtasun eguneratzeak argitaratu ditu, guztira 26 ahultasun larri konpontzen dituztenak. Horien artean, 2 kritikotasun handikoak dira (CVSS ≥ 9.0), 24 kritikotasun altukoak (CVSS 7.0 eta 8.9 artean).

Ahultasun hauek Apple-en hainbat sistema eragileei eragiten diete, hala nola iOS, iPadOS, macOS Sonoma, macOS Ventura, macOS Sequoia, tvOS, watchOS, visionOS eta Safari. Eragindako gailuak ahalik eta lasterren eguneratzea gomendatzen da segurtasun arrisku hauek arintzeko.

Eragindako baliabideak

  • iOS
  • iPadOS
  • macOS Sonoma
  • macOS Ventura
  • macOS Sequoia
  • tvOS
  • watchOS
  • visionOS
  • Safari

Azterketa teknikoa

  • CVE-2025-24259: Arloa hau konpondu da baimen egiaztapen gehigarriekin. Arloa hau zuzenduta dago macOS Ventura 13.7.5, macOS Sequoia 15.4 eta macOS Sonoma 14.7.5 bertsioetan. Aplikazio batek Safari-ko markatzaileak berreskuratu ditzake baimen egiaztapenik gabe.
    • CWE-862
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-30448: Arazo hau baimen egiaztapen gehigarriekin konpontzen da. Arazo hau zuzenduta dago macOS Sonoma 14.7.6, iPadOS 17.7.7, iOS 18.5 eta iPadOS 18.5, visionOS 2.5, macOS Ventura 13.7.6 eta macOS Sequoia 15.4 bertsioetan. Maldakariak iCloud karpetaren partekatzea baimenik gabe gaitu dezake.
    • CWE-862
    • CVSS: 9.1 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31204: Issua memoria kudeaketan hobetzearekin konpondu zen. Arren, arazoa zuzenduta dago watchOS 11.5, tvOS 18.5, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 eta Safari 18.5 bertsioetan. Web edukitzat kaltetgarria prozesatzeak memoria korruptzioa eragin dezake.
    • CWE-119
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31246: Arazoa memoria kudeaketaren hobekuntzaren bidez konpondu zen. Zalantzarik gabeko hutsa MacOS Sequoia 15.5 eta MacOS Sonoma 14.7.6 bertsioetan zuzendu zen. AFP zerbitzari bortitz batera konektatzeak kernelaren memoria integritatea arriskuan jartzen du.
    • CWE-119
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31244: Fitxategien karantenan omissio bat zuzendu da, egiaztapen gehiagorekin. Arlo hau MacOS Sequoia 15.5ean aztertu da. Aplikazio batek bere area seguruatik ihes egin dezake.
    • CWE-693
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31234: Arazoa hobetzen sartutako sarreraren garbiketa bidez konpondu zen. Arazo hau zuzenduta dago visionOS 2.5, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5 eta tvOS 18.5 bertsioetan. Maldarkariak sistema itxieraz edo kernel memoria kaltetuz eragin dezake.
    • CWE-119
    • CVSS: 8.2 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31214: Arazo hau egoera kudeaketa hobetzearekin konpondu zen. Arazo hau iOS 18.5 eta iPadOS 18.5 bertsioetan zuzendu zen. Sarean posizio aitortu batean dagoen atzerritarra sare-trafikoa harrapatzeko aukera izan dezake.
    • CWE-300
    • CVSS: 8.1 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31223: Zalantza hau, egiaztapenak hobetzearen bidez, aztertu zen. Arlo honi buruzko arazo hau zuzendu da watchOS 11.5, tvOS 18.5, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 eta Safari 18.5 bertsioetan. Eduzko edukiak prozesatzeak memoria-arriskuak ekar ditzake.
    • CWE-119
    • CVSS: 8.0 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-24223: Arazoa memoria kudeaketan hobetzearen bidez konpondu da. Galbide hau watchOS 11.5, tvOS 18.5, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 eta Safari 18.5 bertsioetan zuzendu da. Web eduki gaiztoen prozesamenduak memoria-arriskuak eragin ditzake.
    • CWE-352
    • CVSS: 8.0 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-24213: Arloa hau ebaztu zen float-en kudeaketa hobetuz. Arloa hau konpontzen da tvOS 18.4, Safari 18.4, iPadOS 17.7.6, iOS 18.4 eta iPadOS 18.4, eta macOS Sequoia 15.4. Mota bateko nahasmendu arazoak memoria korrupzioa eragin dezake.
    • CWE-843
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31222: Segurtasun arazoa aztertu zen egiaztapenak hobetzen. Arazo hau konpondu da watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 eta macOS Ventura 13.7.6 bertsioetan. Erabiltzaileek aginduak igo ditzakete.
    • CWE-269
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-24274: Sarrera balidazioan aurkitu den ahulkeria kode ahulgarria kenduz konpondu da. Arlo hori zuzenduta dago macOS Ventura 13.7.6, macOS Sequoia 15.5 eta macOS Sonoma 14.7.6-n. Aplikazio txarrek erroldako baimenak lortu ditzakete.
    • CWE-20
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31259: Arazoa konpondu zen sarreraren saneaketan hobetuz. Arazo hau macOS Sequoia 15.5ean konpondu da. Aplikazio batek goiko baimenak lortu ditzake.
    • CWE-20
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31224: Problema logikoa ebaztea lortu zen egiaztapenak hobetzen. Problema hau macOS Ventura 13.7.6, macOS Sequoia 15.5 eta macOS Sonoma 14.7.6n aztertu zen. Aplikazio batek pribatutasun aukerak zehaztuen saihestu dezake.
    • CWE-693
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-30453: Arazoa permisoak egiaztatzeko egindako inplementazioaren bidez konpontzen da. Zaintasun arazoa MacOS Sequoia 15.4, MacOS Ventura 13.7.6 eta MacOS Sonoma 14.7.6 bertsioetan zuzendu da. Software txarrek root baimenak eskuratu ditzake.
    • CWE-280
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-24258: Eskerrik asko por tu ayuda. Aquí tienes la traducción al euskera del texto proporcionado: "Kontuan hartu beharreko arazo batzuk permiso mugak gehigarriekin konpondu dira. Arlo hau konpondua dago macOS Sequoia 15.4, macOS Ventura 13.7.6 eta macOS Sonoma 14.7.6-n. Aplikazio batek root baimenak lortu ditzake."
    • CWE-269
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-30442: Arazoa konpondu zen sarreraren garbitzea hobetuz. Problema hau zuzenduta dago macOS Sequoia 15.4, macOS Ventura 13.7.6 eta macOS Sonoma 14.7.6 bertsioetan. Aplikazio bati ahalmen handiko baimenak lortzea ahal da.
    • CWE-20
    • CVSS: 7.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31207: Problema logiko bat ebazten da egiaztapenak hobetzen. Problema hau zuzendu zen iOS 18.5 eta iPadOS 18.5 bertsioetan. Aplikazio batek erabiltzaile baten instalatutako aplikazioak zerrendatu ahal izan zituen.
    • CWE-200
    • CVSS: 7.7 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31213: Datuak biltegiratzearekin erlazionatutako segurtasun arazoa datuen kudeaketa hobetzearekin aztertu da. Arlo hori konpondu da iPadOS 17.7.7, macOS Ventura 13.7.6, macOS Sequoia 15.5 eta macOS Sonoma 14.7.6 bertsioetan. Aplikazio batek, inork, hipotetikoki, erabiltzailearen iCloud Keychain-en gordetako erabiltzaile izenak eta erlazionatutako webguneak atzitu ditzake.
    • CWE-532
    • CVSS: 7.6 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L
    • Ustiapena: Ez da detektatu
  • CVE-2024-8176: Libexpat liburutegian stack overflow baliogabetasuna dago entitateak XML dokumentuetan errekurtsiboki hedatzeko moduagatik. XML dokumentu bat aztertzen denean, entitate erreferentziak sakonki anidatuak dituztenean, libexpat-ek etengabe errekurtso egin behar izan dezake, pila espazioa agortuz eta blokeoa eragin dezake. Arloa eta liburutegiaren erabilera arabera, arazoa zerbitzu ezeztapena (DoS) eragin dezake edo, kasu batzuetan, memoria hutsa erabiltzeko aukera ematen duen korruptzioa, eragilea.
    • CWE-674
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31208: Arloa hobetuz, arazo hau konpondu da. Arlo hau zuzenduta dago watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 eta macOS Ventura 13.7.6. Fitxategia aztertzeak aplikazioa hutsik itxi dezake.
    • CWE-20
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31221: Zenbakien gainkarga bat konpontzen da sarreraren egiaztapena hobetuz. Arlo hau helburu zen watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 eta macOS Ventura 13.7.6. Mahaigaineko erasotzaileak aukera izan dezake aukera hau erabiltzeko memoria isurtzeko.
    • CWE-190
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Ustiapena: Ez da detektatu
  • CVE-2025-31237: Arlo honi aurre egin zen egiaztapenak hobetuz. Arlo hau MacOS Ventura 13.7.6, MacOS Sequoia 15.5 eta MacOS Sonoma 14.7.6 bertsioetan konpondu zen. AFP sare bidezko baliabide manipulatua muntatzeak helburu txarretarako erabilera sistema etenaldiak ekar ditzake.
    • CWE-404
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31247: Problema logiko bat ebazten da egoera kudeaketa hobetuz. Problema hau zuzendu zen macOS Ventura 13.7.6, macOS Sequoia 15.5 eta macOS Sonoma 14.7.6-n. Irakasleak sistema fitxategiko zati babestuetara sartu ahal izango litzateke.
    • CWE-284
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Ustiapena: Ez da detektatu
  • CVE-2025-31240: Arabera, segurtasun informatikoari buruzko txosten baterako, testu hau euskara aldera itzuli behar da: Arabera, egiaztapenak hobetuz, arazoa konpondu zen. Arlo honetako arazoa zuzendu zen macOS Ventura 13.7.6, macOS Sequoia 15.5 eta macOS Sonoma 14.7.6 bertsioetan. AFP sare partekatutako baliabide manipulatu bat muntatzeak helburu bortitzak izan ditzake sistema etenaldia eragitea.
    • CWE-20
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Ustiapena: Ez da detektatu
  • CVE-2025-31200: Memoria korruptzearen arazoa konpontzen da mugen egiaztapena hobetuz. Ondorio hau zuzendu da tvOS 18.4.1, visionOS 2.4.1, iOS 18.4.1 eta iPadOS 18.4.1, baita macOS Sequoia 15.4.1-n ere. Multimedia fitxategian audio sekuentzia manipulatzeak mal intentzioekin kodea exekutatzeko eragin dezake. Applek jakin-mina dauka txosten batek esaten duenez, arazoa erabil daitekeela adierazten duena, iOSen pertsona zehatz batzuei zuzendutako eraso oso sofistikatu batean.
    • CWE-787
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Ustiapena: Ez da detektatu

Arintzea/Konponbidea

Apple-ek gomendatzen du sistema kaltetuak honako bertsio hauetara eguneratzea:

  • iOS eta iPadOS: 18.4.1 edo berriagora eguneratu
  • macOS Sequoia: 15.4.1 edo berriagora eguneratu
  • macOS Sonoma: 14.6.1 edo berriagora eguneratu
  • macOS Ventura: 13.6.6 edo berriagora eguneratu
  • tvOS: 18.4.1 edo berriagora eguneratu
  • watchOS: 11.4.1 edo berriagora eguneratu
  • visionOS: 2.4.1 edo berriagora eguneratu
  • Safari: 18.4.1 edo berriagora eguneratu

Garrantzitsua da azpimarratzea kalteberatasun horiek aktiboki ustiatzen ez badira ere, eguneratze horiek lehenbailehen ezartzea gomendatzen dela. Sistema kritikoen kasuan, eguneratzeak aplikatu aurretik arriskuen ebaluazioa egitea kontuan hartzea.

Erreferentzia gehigarriak