CRITICAL🇬🇧 English

CVE-2025-24154

Apple iOS/macOS: zapis poza granicami bufora z możliwością korupcji pamięci jądra

CVSS 9.1v3.1pub. 2025-01-27upd. 2026-04-02

Podatność typu out-of-bounds write w systemach Apple iOS, iPadOS oraz macOS umożliwia atakującemu zdalnie wywołanie nieoczekiwanego zakończenia systemu lub uszkodzenie pamięci jądra (kernel memory). Wysoki wynik CVSS 9.1 oraz brak wymagań dotyczących uwierzytelnienia czynią ją szczególnie niebezpieczną.

Pokaż oryginał (EN)

An out-of-bounds write was addressed with improved input validation. This issue is fixed in iOS 18.3 and iPadOS 18.3, macOS Sequoia 15.3, macOS Sonoma 14.7.3, macOS Ventura 13.7.3, visionOS 2.3. An attacker may be able to cause unexpected system termination or corrupt kernel memory.

🤖 Analiza AI
Jak działa

Błąd polega na zapisie danych poza przydzielonym obszarem bufora (out-of-bounds write, CWE-787) spowodowanym niewystarczającą walidacją danych wejściowych. Dodatkowym czynnikiem jest podatność CWE-757, wskazująca na wybór słabszego lub niezabezpieczonego algorytmu. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe sieciowo, bez konieczności posiadania uprawnień ani interakcji użytkownika, co prowadzi do zapisu w obszarach pamięci jądra systemu.

Skutki

Atakujący może spowodować nieoczekiwane i przymusowe zamknięcie systemu (denial of service) lub doprowadzić do korupcji pamięci jądra, co potencjalnie otwiera drogę do dalszej eskalacji uprawnień lub destabilizacji urządzenia.

Mitygacja

Należy jak najszybciej zaktualizować urządzenia do następujących wersji: iOS 18.3 i iPadOS 18.3, macOS Sequoia 15.3, macOS Sonoma 14.7.3, macOS Ventura 13.7.3 lub visionOS 2.3. Szczegółowe instrukcje dostępne są w oficjalnych biuletynach bezpieczeństwa Apple pod adresami wskazanymi w referencjach.

Kogo dotyczy

iOS i iPadOS przed wersją 18.3, macOS Sequoia przed wersją 15.3, macOS Sonoma przed wersją 14.7.3, macOS Ventura przed wersją 13.7.3 oraz visionOS przed wersją 2.3.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • Apple iPadOS

    OS
    Apple
    < 18.3
  • Apple iOS

    OS
    Apple
    < 18.3
  • Apple macOS

    OS
    Apple
    < 13.7.314.0 – 14.7.3 (bez)15.0 – 15.3 (bez)
  • Apple Visionos

    OS
    Apple
    < 2.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Memory
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-31200CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple — memory corruption (RCE) w przetwarzaniu strumieni audio

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki