Albisteak

Apple-ren segurtasuna eguneratzea - 2025eko Apirila

Argitalpen-data: 

Laburpen exekutiboa

Azken hilabetean, Applek segurtasun-eguneraketak argitaratu ditu, guztira 21 kalteberatasun zuzentzen dituztenak. Hauek honako sistema eragileei eragiten diete: iOS, iPadOS, macOS Sonoma, macOS Ventura, macOS Sequoia, tvOS, watchOS, visionOS eta Safari nabigatzailea.

Horrez gain, CISAk jakinarazi du 2 kalteberatasun aktiboki ustiatu direla iOS erabiltzaileei zuzendutako eraso sofistikatuetan. CVE-2025-31200 kalteberatasunak urrunetik kodea exekutatzea ahalbidetzen zuen audio fitxategi manipulatuekin (CWE-787, CVSS 7.5), eta CVE-2025-31201 kalteberatasunak arbitrarioki irakurri eta idatzi ahal izatea baliatuz puntorekin autentifikazioa saihestea ahalbidetzen zuen (CVSS 6.8). Bi kalteberatasunak iOS, iPadOS, macOS, tvOS eta visionOS sistemetarako segurtasun-eguneraketetan konpondu dira.

Eragindako baliabideak

  • iOS 18.4.1 eta iPadOS 18.4.1
  • macOS Sequoia 15.4.1
  • tvOS 18.4.1
  • visionOS 2.4.1
  • CarPlay Communication Plug-in R18.1 Updates
  • watchOS 11.4

Azterketa teknikoa

  • CVE-2025-31200: Memoria ustelkeriaren arazo bat konpondu da muga-egiaztapenak hobetuz. Arazo hau honako bertsioetan konpondu da: tvOS 18.4.1, visionOS 2.4.1, iOS 18.4.1, iPadOS 18.4.1 eta macOS Sequoia 15.4.1. Audio-segida bat fitxategi manipulatua prozesatzean kodea exekutatu liteke. Applek jakinarazi du arazo hau balitekeela iOS erabiltzaile zehatzen aurkako eraso sofistikatu batean ustiatu izana.
    • CWE-787
    • CVSS puntuazioa: 7.5
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Ustiapena: Detektatua
  • CVE-2025-30430: Egoeraren kudeaketa hobetu da arazo hau konpontzeko. Bertsio hauek jasotzen dute konponketa: visionOS 2.4, iOS 18.4, iPadOS 18.4 eta macOS Sequoia 15.4. Pasahitzen automatikoki betetzea gerta daiteke autentifikazioa huts egin ondoren ere.
    • CWE-287
    • CVSS puntuazioa: 9.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-24237: Buffer overflow bat konpondu da muga-egiaztapenak hobetuz. Konpondutako bertsioak: visionOS 2.4, macOS Ventura 13.7.5, iOS 18.4, iPadOS 18.4, iPadOS 17.7.6, macOS Sequoia 15.4 eta macOS Sonoma 14.7.5. Aplikazio batek sistemaren ustekabeko itxiera eragin lezake.
    • CWE-120
    • CVSS puntuazioa: 9.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-31183: Datu-edukiontzien sarbidea mugatzeko neurriak hobetu dira. Kalteberatasuna konpondu da honako bertsioetan: macOS Sonoma 14.7.5, iOS 18.4, iPadOS 18.4, tvOS 18.4 eta macOS Sequoia 15.4. Aplikazio batek erabiltzailearen datu sentikorrak atzitu ahal izango lituzke.
    • CWE-200
    • CVSS puntuazioa: 9.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-31182: Esteka sinbolikoen kudeaketa hobetu da arazo hau konpontzeko. Konpondutako bertsioak: visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 eta macOS Sonoma 14.7.5. Aplikazio batek baimenik ez duen fitxategiak ezabatu ahal izango lituzke.
    • CWE-862
    • CVSS puntuazioa: 9.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-24167: Egoera-kudeaketa hobetu da arazo hau konpontzeko. Safari 18.4, iOS 18.4, iPadOS 18.4 eta macOS Sequoia 15.4 bertsioetan konponduta. Deskarga baten jatorria oker esleitu liteke.
    • NVD-CWE-noinfo
    • CVSS puntuazioa: 9.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-24190: Memoria-kudeaketa hobetu da arazo hau konpontzeko. Bertsio konpondunak: visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 eta macOS Sonoma 14.7.5. Bideo fitxategi manipulatua prozesatzeak aplikazioaren ustekabeko itxiera edo prozesuaren memoria hondatzea eragin lezake.
    • CWE-400
    • CVSS puntuazioa: 9.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-30426: Baimen-egiaztapen gehigarriak ezarri dira. Konpondutako bertsioak: visionOS 2.4, tvOS 18.4, iPadOS 17.7.6, iOS 18.4, iPadOS 18.4 eta macOS Sequoia 15.4. Aplikazio batek erabiltzailearen instalatutako aplikazioak zerrendatu ahal izango lituzke.
    • CWE-200
    • CVSS puntuazioa: 9.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-24230: Muga kanpoko irakurketa-arazoa konpondu da sarrera-balidazioa hobetuz. Bertsio konpondunak: visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 eta macOS Sonoma 14.7.5. Audio fitxategi manipulatua erreproduzitzeak aplikazioaren itxiera eragin dezake.
    • CWE-125
    • CVSS puntuazioa: 9.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-24238: Arazo logiko bat konpondu da egiaztapenak hobetuz. Konpondutako bertsioak: macOS Ventura 13.7.5, tvOS 18.4, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 eta macOS Sonoma 14.7.5. Aplikazio batek pribilegio altuak eskuratu ahal izango lituzke.
    • CWE-276
    • CVSS puntuazioa: 9.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-30433: Sarbide-murrizketak hobetu dira. Konpondutako bertsioak: visionOS 2.4, macOS Ventura 13.7.5, iOS 18.4, iPadOS 18.4, iPadOS 17.7.6, macOS Sequoia 15.4 eta macOS Sonoma 14.7.5. Lasterbide batek normalean eskuragarri ez diren fitxategiak atzitu ahal izango lituzke Shortcuts aplikazioaren bidez.
    • CWE-284
    • CVSS puntuazioa: 9.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-24264: Memoria-kudeaketa hobetu da. Konpondutako bertsioak: visionOS 2.4, tvOS 18.4, iPadOS 17.7.6, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 eta Safari 18.4. Eduki web manipulatua prozesatzean Safari ustekabean itxi daiteke.
    • CWE-400
    • CVSS puntuazioa: 9.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-24178: Egoera-kudeaketa hobetu da arazo hau konpontzeko. Konpondutako bertsioak: macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 eta macOS Sonoma 14.7.5. Aplikazio batek bere sandbox-etik irten ahal izango luke.
    • NVD-CWE-noinfo
    • CVSS puntuazioa: 9.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-24201: Muga kanpoko idazketa-arazo bat konpondu da ekintza baimendu gabeak saihesteko egiaztapen hobetuak ezarriz. Arazo hau honako bertsioetan konpondu da: visionOS 2.3.2, iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, Safari 18.3.1, watchOS 11.4, iPadOS 17.7.6, iOS 16.7.11, iPadOS 16.7.11, iOS 15.8.4 eta iPadOS 15.8.4. Eduki web manipulatua Web Content sandbox-etik ihes egiteko gai izan daiteke. Hau iOS 17.2-n blokeatutako eraso baten zuzenketa osagarria da. (Applek jakinarazi du kalteberatasun hau bertsio zaharragoetan erabiltzaile zehatz batzuen aurkako eraso sofistikatuetan ustiatu zitekeela).
    • CWE-787
    • CVSS puntuazioa: 8.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-24180: Sarrera-balidazioa hobetu da arazo hau konpontzeko. Konponketa Safari 18.4, visionOS 2.4, iOS 18.4, iPadOS 18.4 eta macOS Sequoia 15.4 bertsioetan ezarri da. Webgune kaltegarri batek beste domeinu batetik WebAuthn kredentzialak eskuratu ahal izango lituzke sufijo berdina partekatzen badute.
    • CWE-601
    • CVSS puntuazioa: 8.1
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
    • Ustiapena: Ez atzemandakoa
  • CVE-2024-48958: `execute_filter_delta` funtzioak, `archive_read_support_format_rar.c` fitxategian, libarchive-ren 3.7.5 baino lehenagoko bertsioetan, muga kanpoko sarbidea ahalbidetzen du RAR artxibo manipulatua erabilita, `src` punteroa `dst` baino haratago joan baitaiteke.
    • CWE-125
    • CVSS puntuazioa: 7.8
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-24213: Zenbaki flotatzaileen kudeaketa hobetu da. Arazoa honako bertsioetan konpondu da: tvOS 18.4, Safari 18.4, iPadOS 17.7.6, iOS 18.4, iPadOS 18.4 eta macOS Sequoia 15.4. Mota-nahaste batek memoria usteldu lezake.
    • CWE-843
    • CVSS puntuazioa: 7.8
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-24173: Baimen-egiaztapen osagarriak ezarri dira. Konponketa honako bertsioetan dago erabilgarri: visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 eta macOS Sonoma 14.7.5. Aplikazio batek bere sandbox-etik ihes egin ahal izango luke.
    • CWE-284
    • CVSS puntuazioa: 7.8
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2024-56171: libxml2-ren 2.12.10 baino lehenagoko eta 2.13.x (2.13.6 baino lehen) bertsioetan, `xmlschemas.c`-ko `xmlSchemaIDCFillNodeTables` eta `xmlSchemaBubbleIDCNodeTables` funtzioetan memoria askatu ondoren berrerabiltze-arazo bat dago (*use-after-free*). Kalteberatasun hau ustiatzeko, XML dokumentu manipulatua eskema batekin balidatu behar da, edo eskema bera izan behar da manipulatua.
    • CWE-416
    • CVSS puntuazioa: 7.8
    • CVSS bektorea: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-24243: Memoria-kudeaketa hobetu da arazo hau konpontzeko. Arazoa konpondu da honako bertsioetan: visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 eta macOS Sonoma 14.7.5. Fitxategi manipulatua prozesatzeak kode arbitrarioa exekutatzea ekar dezake.
    • CWE-94
    • CVSS puntuazioa: 7.8
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Ustiapena: Ez atzemandakoa
  • CVE-2025-30471: Balidazio-arazo bat konpondu da logika hobetuz. Arazoa konponduta dago visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 eta macOS Sonoma 14.7.5 bertsioetan. Erabiltzaile urrun batek zerbitzu-ezeztapen bat (DoS) eragin lezake.
    • CWE-20
    • CVSS puntuazioa: 7.5
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Ustiapena: Ez atzemandakoa

Arintzea/Konponbidea

Gomendatzen da erabiltzaileek beren gailuak bertsio zuzenduetara eguneratzea.

Erreferentzia gehigarriak