Albisteak

Apple-ren segurtasuna eguneratzea - 2025eko iraila

Argitalpen-data: 

Laburpen exekutiboa

2025eko irailaren hilabetean, Applek segurtasun-eguneratzeak argitaratu ditu guztira 27 ahultasun kritiko eta larriak zuzentzeko. Horien artean, 9 ahultasun kritikoak dira (CVSS ≥ 9.0), eta 18 larritasun handikoak (CVSS 7.0 eta 8.9 artean). Horien artean, 1ek ustiapen aktiboaren ebidentzia aurkezten du (CVE-2025-43300).

Ahultasun hauek Apple-ren hainbat sistema eragileei eragiten diete, besteak beste: iOS, iPadOS, macOS Sonoma, macOS Ventura, macOS Sequoia, tvOS, watchOS, visionOS eta Safari. Gomendatzen da gailu kaltetutakoak ahalik eta azkarren eguneratzea segurtasun-arrisku hauek arintzeko.

Eragindako baliabideak

  • iOS
  • iPadOS
  • macOS Sonoma
  • macOS Ventura
  • macOS Sequoia
  • tvOS
  • watchOS
  • visionOS
  • Safari

Azterketa teknikoa

Ustiatu den ahultasunaren xehetasunak hauek dira:

  • CVE-2025-43300: Askatu ondoren erabilera arazo bat konpondu zen muga egiaztapena hobetuz. Arazo hau zuzenduta dago macOS Sonoma 14.7.8, macOS Ventura 13.7.8, iPadOS 17.7.10, macOS Sequoia 15.6.1, iOS 18.6.2 eta iPadOS 18.6.2 bertsioetan. Irudi fitxategi kaltegarria prozesatzeak memoriaan kalteak eragin ditzake. Applek jakitun da arazo hau erasotzaile zehatz batzuei aurre egiteko erasoa oso sofistikatu batean erabilia izan dela adierazten duen txosten baten berri.
    • CWE-787
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Detektatua

Kritikotasun handiena duten ahultasunen xehetasunak hauek dira:

  • CVE-2025-31255: Autorizazio arazo bat kudeaketa hobetua duen egoerarekin abordatu zen. Arazo hau konpondu zen tvOS 26, macOS Sonoma 14.8, macOS Sequoia 15.7, watchOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Aplikazio batek erabiltzailearen datu sentikorrak eskuratzeko gai izan daiteke.
    • CWE-285
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43362: Arazoa kontrol hobeekin jorratu zen. Arazo hau konpondu zen iOS 18.7 eta iPadOS 18.7, iOS 26 eta iPadOS 26 bertsioetan. Aplikazio batek erabiltzailearen baimenik gabe teklen sakatzeak monitorizatzeko gai izan daiteke.
    • CWE-200
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43347: Arazo hau kudeatu zen kode ahultsua kenduz. Arazo hau konpondu da tvOS 26, watchOS 26, visionOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Sarrera balidatzeko arazo bat kudeatu zen.
    • CWE-20
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-6965: SQLite 3.50.2 bertsioaren aurreko bertsioetan ahultasun bat dago, non gehitutako terminoen kopuruak eskuragarri dauden zutabeen kopurua gainditu dezakeen. Honek memoria korruptzio arazo bat eragin dezake. Gomendatzen dugu 3.50.2 bertsiora edo altuago batera eguneratzea.
    • CWE-197
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43359: Logika arazo bat kudeaketa hobetua erabiliz abordatu zen. Arazo hau konpondu zen tvOS 26, macOS Sonoma 14.8, macOS Sequoia 15.7, iOS 18.7, iPadOS 18.7, visionOS 26, watchOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. UDP zerbitzari soketa bat interfazte lokal bati lotuta egon daiteke, interfazte guztiei lotuta.
    • CWE-670
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43342: Arazo bat konpondu zen egiaztapen hobetuekin. Arazo hau konpondu da tvOS 26, Safari 26, iOS 18.7, iPadOS 18.7, visionOS 26, watchOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Web edukia gaizki diseinatuta prozesuaren itxiera ustekabea eragin dezake.
    • CWE-20
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43343: Arazoa memoria kudeaketan hobetzearekin landu zen. Arazo hau konpondu zen tvOS 26, Safari 26, visionOS 26, watchOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Eduki kaltegarria prozesatzeak prozesuaren itxiera ustekabea eragin dezake.
    • CWE-119
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2024-27280: Detektatu da StringIO 3.0.1-en buffer gainditze arazo bat, Ruby 3.0.x-tik 3.0.6-ra eta 3.1.x-tik 3.1.4-ra banatuta. StringIO-n ungetbyte eta ungetc metodoek kate baten amaitik haratago irakurri dezakete, eta StringIO.gets-era hurrengo deialdi batek memoria balioa itzuli dezake. 3.0.3 finkatutako bertsio nagusia da; hala ere, Ruby 3.0 erabiltzaileentzat, finkatutako bertsioa stringio 3.0.1.1 da, eta Ruby 3.1 erabiltzaileentzat, finkatutako bertsioa stringio 3.0.1.2 da.
    • CWE-120
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43273: Askatu ondoren erabilera arazo bat konpondu zen probetan murrizketa gehigarriak zituen baimenekin. Arazo hau zuzenduta dago macOS Sequoia 15.6 bertsioan. Prozesu batek probetan murrizketak saihestu ditzake.
    • CWE-693
    • CVSS: 9.1 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-43329: Arazo bat kudeaketa baimenekin murrizketa gehigarriekin abordatu zen. Arazo hau konpondu zen watchOS 26, tvOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Aplikazio batek bere sandbox-etik irten ahal izango du.
    • CWE-862
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43358: Baimentzen ez diren baimenekin lotutako arazo bat aztertu zen sandbox-ean. Arazo hau konpondu zen macOS Sequoia 15.7, macOS Sonoma 14.8, iOS 18.7 eta iPadOS 18.7, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Sarbide labur batek sandbox-eko murrizketak saihestu ditzake.
    • CWE-862
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43330: Arazo hau abordatu zen kode ahultsua kenduz. Arazo hau konpondu da macOS Sequoia 15.7 eta macOS Tahoe 26 bertsioetan. Aplikazio batek bere sandbox-etik irtetea posible izan daiteke.
    • CWE-693
    • CVSS: 8.2 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-43371: Arazo hau hobetutako kontrolen bidez landu zen. Arazo hau konpondu zen Xcode 26 bertsioan. Aplikazio batek bere sandbox-etik irten ahal izango du.
    • CWE-284
    • CVSS: 8.2 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-48384: Git bertsio kontrolerako sistema banatua, azkarra eta eskalagarria da, komando multzo oso osatua duena, funtzionamendu internoari osoko sarbidea eta maila altuko operazioak eskaintzen dituena. Konfigurazio balio bat irakurtzean, Git azkeneko karroa eta lerro aurreratzeak (CRLF) ezabatzen ditu. Konfigurazio sarrera bat idaztean, CR batekin balioak ez dira hitz artean jarri, eta horrek CR-a galtzea eragiten du konfigurazioa ondoren irakurtzean. Submodulu bat hasterakoan, submoduluaren ibilbideak CR bat badu azkenean, ibilbide aldatu irakurtzen da, eta horrek submodulua leku oker batean ateratzea eragiten du. ibilbide aldatu hori submoduluaren hook direktorioan apuntatzen duen lotura sinboliko bat badago, eta honek ateratze osteko exekutagarria duen hook bat badu, script-a akats batean exekutatu daiteke ateratzean. Ahultasun hau zuzenduta dago v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1 eta v2.50.1 bertsioetan.
    • CWE-59
    • CVSS: 8.0 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43372: Arazoa sarrera balidazio hobea eginez jorratu zen. Arazo hau konpondu zen tvOS 26, watchOS 26, visionOS 26, macOS Tahoe 26, iOS 26 eta iPadOS 26 bertsioetan. Fitxategi multimedia kaltegarria prozesatzeak aplikazioaren itxiera ustekabea edo prozesuaren memoria kaltetzea eragin dezake.
    • NVD-CWE-noinfo
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43286: Baimentzen ez diren baimenekin arazo bat abordatu zen. Arazo hau konpondu zen macOS Sequoia 15.7, macOS Sonoma 14.8, macOS Tahoe 26 bertsioetan. Aplikazio batek bere sandbox-etik irten ahal izango du.
    • CWE-862
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43298: Arazoa direktorio bideen kudeaketan analisi batean tratatu zen bidearen balidazio hobetua erabiliz. Arazo hau konpondu zen macOS Sequoia 15.7, macOS Sonoma 14.8, macOS Tahoe 26 bertsioetan. Aplikazio batek root baimenak lortzeko gai izan daiteke.
    • CWE-41
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43204: Arazo hau abordatu zen kode ahultsua kenduz. Arazo hau konpondu da macOS Tahoe 26 bertsioan. Aplikazio batek bere sandbox-etik irten ahal izango du.
    • CWE-284
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-31259: Arazoa konpondu zen sarrera garbiketaren hobetzearekin. Arazo hau zuzenduta dago macOS Sequoia 15.5 bertsioan. Aplikazio batek altuagoak diren pribilegioak lortu ditzake.
    • CWE-20
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43333: Arazo bat baimenekin murrizketa gehiekin abordatu zen. Arazo hau konpondu zen macOS Tahoe 26 bertsioan. Aplikazio batek root pribilegioak lortzeko gai izan daiteke.
    • CWE-269
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43316: Baimentzen ez diren baimenekin arazo bat jorratu zen. Arazo hau konpondu zen macOS Tahoe 26 eta visionOS 26 bertsioetan. Aplikazio gaizto batek root pribilegioak lortzeko gai izan daiteke.
    • CWE-862
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43340: Baimentzen ez diren murrizketekin baimen arazo bat aztertu zen. Arazo hau konpondu zen macOS Tahoe 26 bertsioan. Aplikazio batek bere sandboxetik irten ahal izango du.
    • CWE-284
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43341: Arau gehigarriak dituzten baimen arazo bat jorratu zen. Arazo hau konpondu zen macOS Sonoma 14.8 eta macOS Tahoe 26 bertsioetan. Aplikazio batek root pribilegioak lortzeko gai izan daiteke.
    • CWE-862
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43277: Arazoa konpondu zen memoria kudeaketa hobetuz. Arazo hau zuzenduta dago iOS 18.6 eta iPadOS 18.6, watchOS 11.6, macOS Sequoia 15.6, tvOS 18.6 eta visionOS 2.6 bertsioetan. Helburu gaiztoekin manipulatutako audio fitxategi bat prozesatzeak memoriaan kalteak eragin dezake.
    • CWE-119
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-31271: Arazo hau kudeaketa egoeraren hobekuntza baten bidez aztertu zen. Arazo hau konpondu da macOS Tahoe 26 bertsioan. FaceTime-ko dei sarrerak agertu daitezke edo onartu daitezke macOS blokeatuta dagoen gailu batean, pantaila blokeatuan jakinarazpenak desgaituta egon arren.
    • CWE-287
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-24088: Arazoa gehikuntza logika bat gehituz jorratu zen. Arazo hau konpondu zen macOS Tahoe 26 bertsioan. Aplikazio batek MDM bidezko profilen bidez ezarritako konfigurazioak baliogabetzeko gai izan daiteke.
    • CWE-284
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Explotazioa: Ez da detektatu

Arintzea/Konponbidea

Ahultasun hauek eta beste batzuk saihesteko, Applek gomendatzen du segurtasun-eguneratze berrienak aplikatzea sistema kaltetutako guztietan.

Garrantzitsua da azpimarratzea ahultasun horietako 1 aktiboki ustiatzen ari direla (CVE-2025-43300).

Erreferentzia gehigarriak