Albisteak

Apple-en segurtasuna eguneratzea - 2025eko urria

Argitalpen-data: 

Laburpen exekutiboa

2025eko urrian, Applek segurtasun-eguneraketak argitaratu ditu, guztira 27 ahultasun kritiko eta larri zuzentzen dituztenak. Horien artean, 9 ahultasun kritikoak dira (CVSS ≥ 9.0) eta 18 larritasun handikoak (CVSS 7.0 eta 8.9 artean), 1ek ustiapen aktiboa duela frogatuta dago, CVE-2025-43300.

Ahultasun hauek Appleren hainbat sistema eragileri eragiten diete, besteak beste: iOS, iPadOS, macOS Sonoma, macOS Ventura, macOS Sequoia, tvOS, watchOS, visionOS eta Safari. Gomendatzen da gailu kaltetutakoak lehenbailehen eguneratzea, segurtasun-arrisku horiek arintzeko.

Eragindako baliabideak

  • iOS
  • iPadOS
  • macOS Sonoma
  • macOS Ventura
  • macOS Sequoia
  • tvOS
  • watchOS
  • visionOS
  • Safari

Azterketa teknikoa

  • CVE-2025-43347: Arazo hau kudeatu zen kode ahultsua kenduz. Arazo hau konpondu da tvOS 26, watchOS 26, visionOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Sarrera balidatzeko arazo bat kudeatu zen.
    • CWE-20
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43362: Arazoa kudeaketa hobetuekin aztertu zen. Arazo hau konpondu da iOS 18.7 eta iPadOS 18.7, iOS 26 eta iPadOS 26 bertsioetan. Aplikazio batek erabiltzailearen baimenik gabe teklen sakatzeak monitorizatzeko gai izan daiteke.
    • CWE-200
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-31255: Autorizazio arazo bat kudeaketa hobetutako estatuarekin abordatu zen. Arazo hau konpondu zen tvOS 26, macOS Sonoma 14.8, macOS Sequoia 15.7, watchOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Aplikazio batek erabiltzailearen datu sentikorretara sarbidea izateko gai izan daiteke.
    • CWE-285
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43342: Arazo bat konpondu zen egiaztapen hobetuekin. Arazo hau konpondu da tvOS 26, Safari 26, iOS 18.7 eta iPadOS 18.7, visionOS 26, watchOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Web edukia gaizki diseinatua prozesatzeak prozesuaren itxiera ustekabea eragin dezake.
    • CWE-20
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43343: Arazoa memoria kudeaketan hobekuntza batekin aztertu zen. Arazo hau konpondu zen tvOS 26, Safari 26, visionOS 26, watchOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Eduki gaiztoaren prozesatzeak prozesuaren itxiera ustekabea eragin dezake.
    • CWE-119
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-6965: SQLite 3.50.2 bertsioaren aurreko bertsioetan ahultasun bat dago, non terminen kopuruak eskuragarri dauden zutabeen kopurua gainditu dezakeen. Honek memoria korruptzio arazo bat eragin dezake. 3.50.2 bertsiora edo altuago batera eguneratzea gomendatzen dugu.
    • CWE-197
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43359: Logika arazo bat kudeaketa hobetua erabiliz abordatu zen. Arazo hau konpondu zen tvOS 26, macOS Sonoma 14.8, macOS Sequoia 15.7, iOS 18.7, iPadOS 18.7, visionOS 26, watchOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. UDP zerbitzari soket bat interfazte lokal bati lotuta egon daiteke, interfazte guztiei lotuta.
    • CWE-670
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2024-27280: Detektatu da StringIO 3.0.1-en buffer gainditze arazo bat, Ruby 3.0.x-tik 3.0.6-ra eta 3.1.x-tik 3.1.4-ra banatuta. StringIO-n ungetbyte eta ungetc metodoek kate baten amaitik haratago irakurri dezakete, eta StringIO.gets deialdi batek memoria balioa itzuli dezake. 3.0.3 finkatutako bertsio nagusia da; hala ere, Ruby 3.0 erabiltzaileentzat, finkatutako bertsioa stringio 3.0.1.1 da, eta Ruby 3.1 erabiltzaileentzat, finkatutako bertsioa stringio 3.0.1.2 da.
    • CWE-120
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43273: Askatu ondoren erabilera arazo bat konpondu zen probetan murrizketa gehigarriak zituen baimenekin. Arazo hau zuzenduta dago macOS Sequoia 15.6 bertsioan. Prozesu batek probetan murrizketak saihestu ditzake.
    • CWE-693
    • CVSS: 9.1 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-43329: Baimentzen ez den arazo bat konpondu zen murrizketa gehigarriekin. Arazo hau zuzenduta dago watchOS 26, tvOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Aplikazio batek bere sandboxetik irten ahal izango du.
    • CWE-862
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43358: Baimentzen ez diren baimenekin arazo bat jorratu zen sandboxean. Arazo hau konpondu zen macOS Sequoia 15.7, macOS Sonoma 14.8, iOS 18.7 eta iPadOS 18.7, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Sarbide labur batek sandboxeko murrizketak saihestu ditzake.
    • CWE-862
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43300: "Idazketa muga kanpoan arazo bat konpondu zen muga egiaztapena hobetuz. Arazo hau zuzenduta dago macOS Sonoma 14.7.8, macOS Ventura 13.7.8, iPadOS 17.7.10, macOS Sequoia 15.6.1, iOS 18.6.2 eta iPadOS 18.6.2 bertsioetan. Irudi-fitxategi kaltegarria prozesatzeak memoriaan kalteak eragin ditzake. Applek jakitun da arazo hau erasotzaile zehatz batzuei aurre egiteko erasoa oso sofistikatu batean erabilia izan dela adierazten duen txosten baten berri."
    • CWE-787
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Detektatu da
  • CVE-2025-43330: Arazo hau kudeatu zen kode ahultsua kenduz. Arazo hau konpondu da macOS Sequoia 15.7 eta macOS Tahoe 26 bertsioetan. Aplikazio batek bere sandbox-etik irten ahal izango da.
    • CWE-693
    • CVSS: 8.2 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-43371: Arazo hau hobetutako kontrolen bidez landu zen. Arazo hau konpondu zen Xcode 26 bertsioan. Aplikazio batek bere sandbox-etik irten ahal izango du.
    • CWE-284
    • CVSS: 8.2 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-48384: Git bertsio kontrolerako sistema banatua, azkarra eta eskalagarri bat da, komando multzo oso osatua duena, funtzionamendu internoari osoko sarbidea eta maila altuko operazioak eskaintzen dituena. Konfigurazio balio bat irakurtzean, Git azkeneko karroa itzultzea eta lerro aurreratzea (CRLF) ezabatzen ditu. Konfigurazio sarrera bat idazterakoan, CR bat duten balioak ez dira hitz artean jarri, eta horrek CR hori galtzea eragiten du konfigurazioa ondoren irakurtzean. Submodulu bat hasterakoan, submoduluaren ibilbideak CR bat badu azkenean, ibilbide aldatu hori irakurtzen da, eta horrek submodulua leku oker batean ateratzea eragiten du. Ibilbide aldatu hori submoduluaren hook direktorioan apuntatzen duen lotura sinboliko bat badago, eta horrek ateratze ondoren exekutagarria den hook bat badu, script hori akats batean exekutatu daiteke ateratzean. Ahultasun hau zuzenduta dago v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1 eta v2.50.1 bertsioetan.
    • CWE-59
    • CVSS: 8.0 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43372: Arazoa sarrera balidazio hobea eginez landu zen. Arazo hau konpondu zen tvOS 26, watchOS 26, visionOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Fitxategi multimedia gaizto baten prozesatzeak aplikazioaren itxiera ustekabea edo prozesuaren memoria kaltetzea eragin dezake.
    • NVD-CWE-noinfo
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43340: Arazo bat baimenekin murrizketa gehigarriekin abordatu zen. Arazo hau konpondu zen macOS Tahoe 26 bertsioan. Aplikazio batek bere sandbox-etik irteteko gai izan daiteke.
    • CWE-284
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43341: Arau-bide murriztapenekin baimen arazo bat aztertu zen. Arazo hau konpondu zen macOS Sonoma 14.8 eta macOS Tahoe 26 bertsioetan. Aplikazio batek root pribilegioak lortzeko gai izan daiteke.
    • CWE-862
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43286: Baimentzen ez diren baimenekin arazo bat jorratu zen. Arazo hau konpondu zen macOS Sequoia 15.7, macOS Sonoma 14.8, macOS Tahoe 26 bertsioetan. Aplikazio batek bere sandbox-etik irten ahal izango du.
    • CWE-862
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-31259: Arazoa konpondu zen sarrera garbiketaren hobetzearekin. Arazo hau zuzenduta dago macOS Sequoia 15.5 bertsioan. Aplikazio batek altuagoak diren pribilegioak lortu ditzake.
    • CWE-20
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43316: Baimentzen ez den arazo bat konpondu zen murrizketa gehigarriekin. Arazo hau zuzenduta dago macOS Tahoe 26 eta visionOS 26 bertsioetan. Aplikazio gaizto batek root baimenak lortzeko gai izan daiteke.
    • CWE-862
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43298: Arazoa direktorio bideen kudeaketan analisi bat izan zen, bidearen balidazio hobetua erabiliz konpondu zen. Arazo hau zuzenduta dago macOS Sequoia 15.7, macOS Sonoma 14.8, macOS Tahoe 26 bertsioetan. Aplikazio batek root baimenak lortzeko gai izan daiteke.
    • CWE-41
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43204: Arazo hau abordatu zen kode ahultsua kenduz. Arazo hau konpondu da macOS Tahoe 26 bertsioan. Aplikazio batek bere sandbox-etik irten ahal izango du.
    • CWE-284
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43333: Arazo bat baimenekin murrizketa gehigarriekin abordatu zen. Arazo hau konpondu zen macOS Tahoe 26 bertsioan. Aplikazio batek root pribilegioak lortzeko gai izan daiteke.
    • CWE-269
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43277: Arazoa konpondu zen memoria kudeaketa hobetuz. Arazo hau zuzenduta dago iOS 18.6 eta iPadOS 18.6, watchOS 11.6, macOS Sequoia 15.6, tvOS 18.6 eta visionOS 2.6 bertsioetan. Helburu gaiztoekin manipulatutako audio fitxategi bat prozesatzeak memoriaan kalteak eragin ditzake.
    • CWE-119
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-24088: Arazoa kudeatu zen logika gehigarria gehituz. Arazo hau konpondu da macOS Tahoe 26 bertsioan. Aplikazio batek MDM bidezko profilak ezarritako konfigurazioak baliogabetzeko gai izan daiteke.
    • CWE-284
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-31271: Arazo hau kudeaketa egoeraren hobekuntza baten bidez aztertu zen. Arazo hau konpondu da macOS Tahoe 26 bertsioan. FaceTime-ko dei sarrerak agertu daitezke edo onartu daitezke macOS blokeatuta dagoen gailu batean, blokeatze pantailan jakinarazpenak desgaituta egon arren.
    • CWE-287
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
    • Explotazioa: Ez da detektatu

Arintzea/Konponbidea

Apple-ek gomendatzen du sistema kaltetuak eskuragarri dauden azken bertsioetara eguneratzea:

  • iOS eta iPadOS: Eskuragarri dagoen azken bertsiora eguneratu
  • macOS Sequoia: Eskuragarri dagoen azken bertsiora eguneratu
  • macOS Sonoma: Eskuragarri dagoen azken bertsiora eguneratu
  • macOS Ventura: Eskuragarri dagoen azken bertsiora eguneratu
  • tvOS: Eskuragarri dagoen azken bertsiora eguneratu
  • watchOS: Eskuragarri dagoen azken bertsiora eguneratu
  • visionOS: Eskuragarri dagoen azken bertsiora eguneratu
  • Safari: Eskuragarri dagoen azken bertsiora eguneratu

Nabarmendu behar da ahultasun hauetako 1, CVE-2025-43300, aktiboki ustiatzen ari dela. Eguneraketa hauek lehentasun handienarekin ezartzea gomendatzen da. Sistema kritikoetan, kontuan izan eguneraketak aplikatu aurretik arrisku-ebaluazio bat egitea.

Erreferentzia gehigarriak