CRITICAL🇬🇧 English

CVE-2025-24195

Przepełnienie liczby całkowitej w macOS umożliwiające privilege escalation

CVSS 9.8v3.1pub. 2025-03-31upd. 2026-04-02

Podatność typu integer overflow w systemach macOS pozwala lokalnemu użytkownikowi na nieuprawnione podniesienie uprawnień. Wysoki wynik CVSS 9.8 wskazuje na krytyczny potencjał exploitacji.

Pokaż oryginał (EN)

An integer overflow was addressed with improved input validation. This issue is fixed in macOS Sequoia 15.4, macOS Sonoma 14.7.5, macOS Ventura 13.7.5. A user may be able to elevate privileges.

🤖 Analiza AI
Jak działa

Błąd polega na przepełnieniu liczby całkowitej (integer overflow) podczas przetwarzania danych wejściowych przez komponent systemu macOS. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które powodują nieprawidłowe obliczenia arytmetyczne, prowadząc do nieoczekiwanego zachowania systemu. Apple rozwiązało problem poprzez wprowadzenie poprawionej walidacji danych wejściowych (improved input validation). Podatność jest sklasyfikowana jako CWE-276, co wskazuje na nieprawidłowe domyślne uprawnienia.

Skutki

Użytkownik z ograniczonymi uprawnieniami może uzyskać podwyższone przywileje systemowe (privilege escalation), potencjalnie uzyskując kontrolę nad zasobami i danymi chronionymi wyższymi poziomami uprawnień.

Mitygacja

Należy zaktualizować system do wersji: macOS Sequoia 15.4, macOS Sonoma 14.7.5 lub macOS Ventura 13.7.5. Aktualizacje dostępne są za pośrednictwem mechanizmu Software Update w systemie macOS oraz na stronach producenta: https://support.apple.com/en-us/122373, https://support.apple.com/en-us/122374, https://support.apple.com/en-us/122375.

Kogo dotyczy

Apple macOS Sequoia w wersjach wcześniejszych niż 15.4, Apple macOS Sonoma w wersjach wcześniejszych niż 14.7.5, Apple macOS Ventura w wersjach wcześniejszych niż 13.7.5.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apple macOS

    OS
    Apple
    13.0 – 13.7.5 (bez)14.0 – 14.7.5 (bez)15.0 – 15.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach

CVE-2025-31200CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple — memory corruption (RCE) w przetwarzaniu strumieni audio

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki