CRITICAL🇬🇧 English

CVE-2025-24207

Błąd uprawnień w macOS umożliwia aktywację iCloud bez zgody użytkownika

CVSS 9.8v3.1pub. 2025-03-31upd. 2026-04-02

Podatność w systemach macOS polega na nieprawidłowym zarządzaniu uprawnieniami, co pozwala aplikacji na włączenie funkcji przechowywania danych w iCloud bez wiedzy i zgody użytkownika. Pomimo oceny CVSS 9.8, realne zagrożenie dotyczy przede wszystkim naruszenia prywatności i integralności danych.

Pokaż oryginał (EN)

A permissions issue was addressed with additional restrictions. This issue is fixed in macOS Sequoia 15.4, macOS Sonoma 14.7.5, macOS Ventura 13.7.5. An app may be able to enable iCloud storage features without user consent.

🤖 Analiza AI
Jak działa

Błąd wynika z niewystarczających ograniczeń (CWE-276 — nieprawidłowo przyznane domyślne uprawnienia) w mechanizmie kontroli dostępu systemu macOS. Aplikacja może wykorzystać tę lukę do samodzielnego aktywowania funkcji iCloud bez wymagania interakcji z użytkownikiem ani posiadania podwyższonych uprawnień. Apple naprawiło problem poprzez wprowadzenie dodatkowych restrykcji w obsłudze uprawnień.

Skutki

Atakujący lub złośliwa aplikacja może bez wiedzy użytkownika włączyć funkcje przechowywania danych w iCloud, co może prowadzić do niezamierzonego przesyłania prywatnych danych do chmury oraz naruszenia kontroli nad własną prywatnością i danymi.

Mitygacja

Należy zaktualizować system do wersji macOS Sequoia 15.4, macOS Sonoma 14.7.5 lub macOS Ventura 13.7.5 zgodnie z informacjami opublikowanymi przez Apple pod adresami support.apple.com/en-us/122373, /122374 oraz /122375

Kogo dotyczy

Apple macOS Sequoia przed wersją 15.4, macOS Sonoma przed wersją 14.7.5, macOS Ventura przed wersją 13.7.5

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apple macOS

    OS
    Apple
    13.0 – 13.7.5 (bez)14.0 – 14.7.5 (bez)15.0 – 15.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach

CVE-2025-31200CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple — memory corruption (RCE) w przetwarzaniu strumieni audio

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki