717649
Уязвимость «нулевого дня» (CVE-2025-24085) затрагивает операционные системы iOS, iPadOS, macOS Sequoia, watchOS, tvOS и связана с использованием данных после освобождения памяти. Компания сообщает, что она активно эксплуатировалась в версиях iOS вплоть до 17.2.
В операционных системах iOS и iPadOS версии 18.3 и iPadOS версии 17.7.4 в общей сложности исправлено 32 уязвимости. Их эксплуатация может позволить злоумышленнику повысить привилегии, обойти ограничения безопасности и настройки конфиденциальности, выполнить произвольный код с привилегиями ядра, изменять защищённые части файловой системы, раскрыть память процесса и данные о пользователе, получить доступ к конфиденциальным данным пользователя, подменить адресную строку и пользовательский интерфейс, получить несанкционированный доступ к Bluetooth, вызвать неожиданное завершение работы процесса или приложения, повреждение памяти ядра и ошибку типа «отказ в обслуживании».
В операционных системах macOS Ventura 13.7.3, macOS Sequoia 15.3 и macOS Sonoma 14.7.3 устранено в общей сложности 64 уязвимости, причём большая часть из них затрагивает операционную систему Sequoia (59 уязвимостей). Их эксплуатация может позволить злоумышленнику повысить привилегии, обойти ограничения безопасности и настройки конфиденциальности, выполнить произвольный код с привилегиями ядра, изменять защищённые части файловой системы, снять отпечаток пальца пользователя, подменить адресную строку, получить доступ к конфиденциальным данным пользователя, произвольным файлам и информации о его местоположении, вызвать неожиданное завершение работы процесса или приложения, повреждение памяти ядра и ошибку типа «отказ в обслуживании».
В браузере Safari 18.3 исправлено семь уязвимостей. Они позволяют злоумышленнику обойти ограничения безопасности, подменить адресную строку и пользовательский интерфейс, снять отпечаток пальца пользователя, внедрить команды, вызвать неожиданный сбой в работе процесса и ошибку типа «отказ в обслуживании».
В операционных системах watchOS 11.3 и tvOS 18.3 устранено по 17 уязвимостей. Их эксплуатация может позволить злоумышленнику обойти ограничения безопасности, повысить привилегии, раскрыть информацию о пользователе, выполнить произвольный код с привилегиями ядра, вызвать неожиданное завершение работы приложения, повреждение памяти ядра и ошибку типа «отказ в обслуживании».
В операционной системе для гарнитуры дополненной и виртуальной реальности visionOS 2.3 устранено 20 уязвимостей. Их эксплуатация может позволить злоумышленнику обойти ограничения безопасности, повысить привилегии, выполнить произвольный код, получить отпечаток пальца пользователя, подменить пользовательский интерфейс, раскрыть информацию о пользователе, сбой в работе процесса и неожиданное завершение работы системы и ошибку типа «отказ в обслуживании».
Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
