CRITICAL🇬🇧 English

CVE-2025-24247

Type confusion w Apple macOS — nieoczekiwane zakończenie aplikacji

CVSS 9.8v3.1pub. 2025-03-31upd. 2026-04-02

Podatność typu type confusion w systemie macOS umożliwia atakującemu zdalne wywołanie nieoczekiwanego zakończenia aplikacji. Ocena CVSS 9.8 wskazuje na krytyczny poziom zagrożenia, choć opisany skutek ogranicza się do destabilizacji działania aplikacji.

Pokaż oryginał (EN)

A type confusion issue was addressed with improved checks. This issue is fixed in macOS Sequoia 15.4, macOS Sonoma 14.7.5, macOS Ventura 13.7.5. An attacker may be able to cause unexpected app termination.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowym rozróżnianiu typów danych (type confusion) podczas przetwarzania określonych danych wejściowych. Atakujący może zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, przesłać spreparowane dane powodujące błędną interpretację typu przez system. Skutkuje to niekontrolowanym zakończeniem działającej aplikacji. Apple usunął podatność poprzez wprowadzenie dodatkowych sprawdzeń typów w ramach aktualizacji systemu.

Skutki

Atakujący może wywołać nieoczekiwane zakończenie (crash) aplikacji działającej na podatnym systemie, co prowadzi do odmowy dostępu do usługi (DoS). Zgodnie z wektorem CVSS potencjalnie możliwe jest również naruszenie poufności i integralności danych.

Mitygacja

Należy zaktualizować system do wersji macOS Sequoia 15.4, macOS Sonoma 14.7.5 lub macOS Ventura 13.7.5, w których Apple wprowadził poprawkę. Szczegółowe informacje dostępne są pod adresami: https://support.apple.com/en-us/122373, https://support.apple.com/en-us/122374, https://support.apple.com/en-us/122375.

Kogo dotyczy

Apple macOS Sequoia przed wersją 15.4, macOS Sonoma przed wersją 14.7.5, macOS Ventura przed wersją 13.7.5.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apple macOS

    OS
    Apple
    13.0 – 13.7.5 (bez)14.0 – 14.7.5 (bez)15.0 – 15.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach

CVE-2025-31200CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple — memory corruption (RCE) w przetwarzaniu strumieni audio

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki