Albisteak

Apple-en segurtasuna eguneratzea - 2025eko Uztaila

Argitalpen-data: 

Laburpen exekutiboa

Azken hilabetean, Apple-ek segurtasun eguneratzeak argitaratu ditu, guztira 25 ahultasun larri konpontzen dituztenak. Horien artean, 2 larritasun handikoak dira (CVSS ≥ 9.0), 23 larritasun altukoak (CVSS 7.0 eta 8.9 artean)

Ahultasun hauek Apple-en hainbat sistema eragileei eragiten diete, hala nola iOS, iPadOS, macOS Sonoma, macOS Ventura, macOS Sequoia, tvOS, watchOS, visionOS eta Safari. Eragindako gailuak ahalik eta lasterren eguneratzea gomendatzen da segurtasun arrisku hauek arintzeko.

Gainera, ekain hilean detektatu da aktiboki ustiaturiko ahultasun bat, iPadOS-en 17.7.5 bertsioan eta iOS eta iPadOS-en 18.3.1 bertsioan eragina duena.

Eragindako baliabideak

  • iOS
  • iPadOS
  • macOS Sonoma
  • macOS Ventura
  • macOS Sequoia
  • tvOS
  • watchOS
  • visionOS
  • Safari

Azterketa teknikoa

  • CVE-2025-24259: Zalantza hau baimen egiaztapen gehigarriekin konpondu zen. Zalantza hau zuzenduta dago macOS Ventura 13.7.5, macOS Sequoia 15.4 eta macOS Sonoma 14.7.5 bertsioetan. Aplikazio batek Safari-ko markatzaileak berreskuratu ditzake baimen egiaztapenik gabe.
    • CWE-862
    • CVSS: 9.8 (crítica)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-30448: Arazo hau baimen egiaztapen gehigarriekin konpondu da. Arazo hau zuzenduta dago macOS Sonoma 14.7.6, iPadOS 17.7.7, iOS 18.5 eta iPadOS 18.5, visionOS 2.5, macOS Ventura 13.7.6 eta macOS Sequoia 15.4 bertsioetan. Irakasleak iCloud karpeta partekatzea baimenik gabe gaitu dezake.
    • CWE-862
    • CVSS: 9.1 (crítica)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31204: Arazoa memoria kudeaketaren hobekuntza bidez aztertu zen. Gai honi aurre egin da watchOS 11.5, tvOS 18.5, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 eta Safari 18.5 bertsioetan. Web eduki txarren prozesamenduak memoria kalteak eragin ditzake.
    • CWE-119
    • CVSS: 8.8 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31244: Fitxategien karantenaren omisio bat ebaztu da kontrol gehigarrien inplementazioaren bidez. Problema hau zuzendu zen macOS Sequoia 15.5ean. Aplikazio batek bere proba ingurutik ihes egin dezake.
    • CWE-693
    • CVSS: 8.8 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31246: Arazoa memoria kudeaketaren hobekuntza bidez konpondu zen. Zaintzeko nahikoa izan zen macOS Sequoia 15.5 eta macOS Sonoma 14.7.6 bertsioetan. AFP zerbitzari txar batera konektatzeak kernelaren memoria kaltetzea eragin dezake.
    • CWE-119
    • CVSS: 8.8 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31234: Arloa hobetzearen bidez, arazoa konpontzen da sarreraren sanitizazioa. Arlo hau zuzenduta dago visionOS 2.5, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5 eta tvOS 18.5 bertsioetan. Maldakariak sistema amaitzea edo kernel memoria kaltetzea eragin dezake.
    • CWE-119
    • CVSS: 8.2 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31214: Arazo hau egoera kudeaketa hobetuz konpondu zen. Arazo hau iOS 18.5 eta iPadOS 18.5 bertsioetan konpondu zen. Sarean posizio aitortua duen erasotzaileak sare-trafikoa harrapatu dezake.
    • CWE-300
    • CVSS: 8.1 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31223: Arazoa ebaztea egiaztapenak hobetuz gauzatua izan da. Arazo hau zuzendu da watchOS 11.5, tvOS 18.5, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 eta Safari 18.5 bertsioetan. Web eduki bortizak prozesatzeak memoria kalteak eragin ditzake.
    • CWE-119
    • CVSS: 8.0 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-24223: Arazoa memoria kudeaketan hobetuz konpondu zen. Keinu hau watchOS 11.5, tvOS 18.5, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 eta Safari 18.5 bertsioetan zuzendu da. Eduki web gaiztoen manipulazioak memoria-arriskuak ekar ditzake.
    • CWE-352
    • CVSS: 8.0 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-24213: Arazo hau ebaztu zen float-ak kudeatzeko hobekuntzarekin. Arazo hau zuzenduta dago tvOS 18.4, Safari 18.4, iPadOS 17.7.6, iOS 18.4, eta iPadOS 18.4, eta macOS Sequoia 15.4-n. Mota bateko nahaste arazoak memoria korrupzioa eragin dezake.
    • CWE-843
    • CVSS: 7.8 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31222: Segurtasun arazo bat konpontzen da egiaztapenak hobetzen. Arlo hau watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 eta macOS Ventura 13.7.6 bertsioetan konpondu da. Erabiltzaileek ahal izan dezakete baimenak igo.
    • CWE-269
    • CVSS: 7.8 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-24274: Sarrera balidazioan hutsune bat zuzendu da, kode arriskutsua kenduz. Arlo hau konpondu da macOS Ventura 13.7.6, macOS Sequoia 15.5 eta macOS Sonoma 14.7.6-n. Aplikazio txarrek erroldako baimenak lortu ditzakete.
    • CWE-20
    • CVSS: 7.8 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31259: Arazoa konpondu zen sarreraren saneamena hobetuz. Arazo hau konpondua dago macOS Sequoia 15.5ean. Aplikazio batek goiko baimenak lortu ditzake.
    • CWE-20
    • CVSS: 7.8 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31224: Problema logiko bat ebazten da egiaztapenak hobetzen. Problema hau zuzendu zen macOS Ventura 13.7.6, macOS Sequoia 15.5 eta macOS Sonoma 14.7.6-n. Aplikazio batek pribatutasun aukerak baztertu ditzake.
    • CWE-693
    • CVSS: 7.8 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-30453: Arazoa ebaztea baimen egiaztapen gehigarrien inplementazioaren bidez egin zen. Zaintasun hutsa zuzenduta izan da macOS Sequoia 15.4, macOS Ventura 13.7.6 eta macOS Sonoma 14.7.6 bertsioetan. Software gaiztoak root baimenak eskuratu ditzake.
    • CWE-280
    • CVSS: 7.8 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-24258: Baimen arazo bat konpondu da, murrizketak gehituta. Problema hau zuzendu da macOS Sequoia 15.4, macOS Ventura 13.7.6 eta macOS Sonoma 14.7.6-n. Aplikazio batek root baimenak lortu ditzake.
    • CWE-269
    • CVSS: 7.8 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-30442: Arloa hobetuz, arazo hau konpontzen da. Problema hau macOS Sequoia 15.4, macOS Ventura 13.7.6 eta macOS Sonoma 14.7.6-n aztertua dago. Aplikazio bati ahalmen handiko baimenak eskuratzea ahal da.
    • CWE-20
    • CVSS: 7.8 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31207: Problema logiko bat ebazten da, egiaztapenak hobetuz. Problema hau iOS 18.5 eta iPadOS 18.5 bertsioetan zuzendu da. Aplikazio batek erabiltzaile baten instalatutako aplikazioak zerrendatu ahal izan zituen.
    • CWE-200
    • CVSS: 7.7 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31213: Datu biltegiratzearekin erlazionatutako segurtasun arazoa datuen kudeaketan hobetzearekin aztertu zen. Arlo hori konpondu da iPadOS 17.7.7, macOS Ventura 13.7.6, macOS Sequoia 15.5 eta macOS Sonoma 14.7.6 bertsioetan. Aplikazio batek erabiltzaile baten iCloud Keychain-en gordetako erabiltzaile izenak eta erlazionatutako webguneak atzitu ahal izango zituen.
    • CWE-532
    • CVSS: 7.6 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31208: Arloa hobetuz, arazoa konpondu da. Arlo hau zuzendua dago watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 eta macOS Ventura 13.7.6-n. Fitxategia aztertzeak aplikazioa hutsik itxi dezake.
    • CWE-20
    • CVSS: 7.5 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31221: Zenbakien gaineko traspasoa konpontzen hasi zen sarrera balidazioa hobetuz. Arlo hau watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 eta iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 eta macOS Ventura 13.7.6-n zuzendu zen. Atal hau erabiltzaile urruntz bat erabili dezake traspasoa hau memoriaren iltzea.
    • CWE-190
    • CVSS: 7.5 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2024-8176: Libexpat liburutegian stack overflow baliogabetasuna dago entitateak XML dokumentuetan errekurtsiboki hedatzeko moduan kudeatzen duelako. XML dokumentu bat aztertzerakoan entitate erreferentziak sakonki anidatuak dituztenean, libexpat-ek etengabe errekurtsatu beharko litzateke, pila espazioa agortuz eta blokeatuz. Arlo eta liburutegiaren erabilera arabera, arazoa zerbitzu ezeztapena (DoS) eragin dezake edo, kasu batzuetan, memoria korrupzio eksploitagarri bat izan dezake.
    • CWE-674
    • CVSS: 7.5 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31237: Arazo hau ebaztu zen egiaztapenak hobetzen. Arazo hau ebaztu zen macOS Ventura 13.7.6, macOS Sequoia 15.5 eta macOS Sonoma 14.7.6n. AFP sare bidez partekatutako baliabide manipulatu bat muntatzeak sistema etenaldiak eragin ditzake.
    • CWE-404
    • CVSS: 7.5 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31247: Problema logikoa ebazten da egoera kudeaketa hobetuz. Problema hau macOS Ventura 13.7.6, macOS Sequoia 15.5 eta macOS Sonoma 14.7.6-n zuzendu zen. Atzokoak sistema fitxategiko zati babestuetara sartzeko aukera izan dezake.
    • CWE-284
    • CVSS: 7.5 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31240: Arloa hobetuz, arazoa konpontzen da. Arloa zuzendu zen macOS Ventura 13.7.6, macOS Sequoia 15.5 eta macOS Sonoma 14.7.6 bertsioetan. AFP sare partekatua manipulatua muntatzeak helburu bortitzak izan ditzake sistema etenaldia eragitea.
    • CWE-20
    • CVSS: 7.5 (alta)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu

Arintzea/Konponbidea

Apple-ek gomendatzen du sistema kaltetuak honako bertsio hauetara eguneratzea:

  • iOS eta iPadOS: 18.4.1 edo berriagora eguneratu
  • macOS Sequoia: 15.4.1 edo berriagora eguneratu
  • macOS Sonoma: 14.6.1 edo berriagora eguneratu
  • macOS Ventura: 13.6.6 edo berriagora eguneratu
  • tvOS: 18.4.1 edo berriagora eguneratu
  • watchOS: 11.4.1 edo berriagora eguneratu
  • visionOS: 2.4.1 edo berriagora eguneratu
  • Safari: 18.4.1 edo berriagora eguneratu

Garrantzitsua da nabarmentzea ahultasun hauetako batzuk aktiboki ustiatzen ari direla. Eguneratze hauek ahalik eta lasterren aplikatzea gomendatzen da. Sistema kritikoetarako, eguneratzeak aplikatu aurretik arrisku-ebaluazioa egitea gomendatzen da.

Erreferentzia gehigarriak