Albisteak

Appleren gailuetan lehertutako kalteberatasunak - 2025eko Apirila

Argitalpen-data: 

Laburpen exekutiboa

Apple-ren hainbat sistema eragileetan bi arrisku handiko zaitezkeenak identifikatu dira. Bat, arrisku handiko gisa katalogatua (CVSS 7.5), audio sekuentzia prozesatzean gertatzen den oroimen hondamendi arazoarekin lotuta dago, eta kode txarraren exekuzioa ahalbidetu dezake. Bigarren arazoa, arrisku ertaineko gisa hartua (CVSS 6.8), erasotzaile bati autentifikazio puntura irakurketa eta idazketa ausazkoaren bidez ihes egitea ahalbidetu dezake. Apple-ek jakinarazi du arazo hauek pertsona zehatzak eraso ditzakeen eraso sofistikatuak izan zitezkeela. Zaitezkeenak konpondu dira segurtasun eguneraketak argitaratuz plataforma kaltetuetan. Gomendatzen zaie erabiltzaileei gailuak bertsio berrienetara eguneratzea mehatsuei aurre egiteko.

Eragindako baliabideak

  • Apple iOS (ez dira aipatu bertsio zehatzak)
  • Apple iPadOS (ez dira aipatu bertsio zehatzak)
  • Apple macOS (ez dira aipatu bertsio zehatzak)
  • Beste Apple produktu batzuk (ez dira aipatu bertsio zehatzak)

Azterketa teknikoa

  • CVE-2025-31200: Oroimen hondamendi arazoa konpondu da muga konprobaketa hobetuz. Arazo hau konpondu da tvOS 18.4.1, visionOS 2.4.1, iOS 18.4.1 eta iPadOS 18.4.1, eta macOS Sequoia 15.4.1-en. Multimedia fitxategi baten audio sekuentzia prozesatzea kodearen exekuzioa eragin dezake. Apple-k informe bat jaso du, non arazo hau eraso oso sofistikatu batean erabili izan zitekeen iOS-en pertsona zehatzak erasotzeko.
    • CWE-787
    • CVSS: 7.5
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Detektatua
  • CVE-2025-31201: Arazo hau konpondu da kode kaltetuaren kenduz. Arazo hau konpondu da tvOS 18.4.1, visionOS 2.4.1, iOS 18.4.1, iPadOS 18.4.1, eta macOS Sequoia 15.4.1-en. Irakurketa eta idazketa ausazko gaitasuna duten erasotzaile batek autentifikazio puntura ihes egin dezake. Apple-k informe bat jaso du, non arazo hau eraso oso sofistikatu batean erabili izan zitekeen iOS-en pertsona zehatzak erasotzeko.
    • CWE: N/A
    • CVSS: 6.8
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
    • Explotazioa: Detektatua

Arintzea/Konponbidea

Fabrikatzaileak, Apple-k, 'Apple Multiple Products Arbitrary Read and Write Vulnerability' (CVE-2025-31201) zaitezkeena murrizteko gomendatzen du, baita 'Apple Multiple Products Memory Corruption Vulnerability' (CVE-2025-31200) ere, bere produktu batzuetan, hala nola iOS, iPadOS, macOS, eta beste batzuetan. Hurrengoak egin behar dira: aplikatu murrizketa neurriak hornitzailearen argibideak jarraituz, bete BOD 22-01 pautak hodei zerbitzuetarako, edo bestela, murrizketa neurriak ez badira eskuragarri, gomendatzen da produktuaren erabilera utzi. Argibide zehatzak lortzeko, erreferentzia egin behar da hornitzailearen dokumentazioari, oharrak atalean emandako esteketan. Beharrezkoa den ekintza burutu behar da adierazitako data baino lehen, 2025-05-08.

Erreferentzia gehigarriak