CRITICAL🇬🇧 English

CVE-2025-24238

Apple iOS/iPadOS/macOS/tvOS — privilege escalation przez błąd logiczny

CVSS 9.8v3.1pub. 2025-03-31upd. 2026-04-02

Błąd logiczny w systemach operacyjnych Apple umożliwia aplikacji uzyskanie podwyższonych uprawnień bez interakcji użytkownika. Podatność otrzymała ocenę CVSS 9.8, co klasyfikuje ją jako krytyczną.

Pokaż oryginał (EN)

A logic issue was addressed with improved checks. This issue is fixed in iOS 18.4 and iPadOS 18.4, macOS Sequoia 15.4, macOS Sonoma 14.7.5, macOS Ventura 13.7.5, tvOS 18.4, watchOS 11.4. An app may be able to gain elevated privileges.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowych uprawnień domyślnych (CWE-276) — błędne sprawdzenia logiczne w systemie pozwalają aplikacji na żądanie lub uzyskanie uprawnień wykraczających poza te, które powinny być jej przyznane. Apple wskazuje, że problem został naprawiony przez wprowadzenie ulepszonych mechanizmów weryfikacji. Atakujący może dostarczyć złośliwą aplikację, która wykorzysta ten błąd do privilege escalation.

Skutki

Złośliwa aplikacja może uzyskać podwyższone uprawnienia w systemie, co potencjalnie umożliwia dostęp do chronionych zasobów, danych innych aplikacji lub wykonywanie operacji zarezerwowanych dla uprzywilejowanych procesów systemowych.

Mitygacja

Należy zaktualizować systemy do wersji: iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4, macOS Sonoma 14.7.5, macOS Ventura 13.7.5, tvOS 18.4, watchOS 11.4. Patche dostępne są bezpośrednio z poziomu ustawień systemowych lub za pośrednictwem stron wsparcia Apple wskazanych w referencjach.

Kogo dotyczy

iOS przed wersją 18.4, iPadOS przed wersją 18.4, macOS Sequoia przed wersją 15.4, macOS Sonoma przed wersją 14.7.5, macOS Ventura przed wersją 13.7.5, tvOS przed wersją 18.4, watchOS przed wersją 11.4

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apple iPadOS

    OS
    Apple
    < 18.4
  • Apple iOS

    OS
    Apple
    < 18.4
  • Apple macOS

    OS
    Apple
    13.0 – 13.7.5 (bez)14.0 – 14.7.5 (bez)15.0 – 15.4 (bez)
  • Apple tvOS

    OS
    Apple
    < 18.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-31200CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple — memory corruption (RCE) w przetwarzaniu strumieni audio

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki