719332
В операционных системах iOS и iPadOS версии 16.7.11 и 15.8.4 устранены две уязвимости «нулевого дня» (CVE-2025-24200 и CVE-2025-24201), которые, как сообщает компания, могли быть использованы при проведении чрезвычайно сложной целевой атаки против определенных лиц. Уязвимость CVE-2025-24200 связана с проблемой авторизации и позволяла злоумышленнику отключить режим ограничения USB на заблокированном устройстве. Уязвимость CVE-2025-24201 затрагивает движок WebKit и связана с возможностью записи за пределами выделенного адресного пространства. Компания сообщает, что эта уязвимость активно эксплуатировалась в версиях iOS вплоть до 17.2.
В операционных системах iOS и iPadOS версии 18.4 и iPadOS версии 17.7.6 в общей сложности исправлено 70 уязвимостей, причём одна из уязвимостей (CVE-2025-24085), исправленных в iPadOS версии 17.7.6, является ошибкой «нулевого дня» и связана с использованием данных после освобождения памяти. Компания сообщает, что она активно эксплуатировалась в версиях iOS вплоть до 17.2. Ранее она была исправлена в операционных системах iOS, iPadOS, macOS Sequoia, watchOS, tvOS. Эксплуатация уязвимостей может позволить злоумышленнику повысить привилегии, обойти ограничения безопасности и настройки конфиденциальности, выполнить произвольный код, изменять защищённые части файловой системы, удалять файлы, раскрыть память процесса и данные о пользователе, получить доступ к конфиденциальным данным пользователя и его местоположению, подменить адресную строку и пользовательский интерфейс, осуществить атаку типа «межсайтовый скриптинг» (XSS-атака), вызвать неожиданное завершение работы процесса или приложения, повреждение памяти ядра и ошибку типа «отказ в обслуживании».
В операционных системах macOS Ventura 13.7.5, macOS Sequoia 15.4 и macOS Sonoma 14.7.5 устранены 85, 131, 91 уязвимость соответственно. Их эксплуатация может позволить злоумышленнику повысить привилегии, обойти ограничения безопасности и настройки конфиденциальности, выполнить произвольный код, изменять защищённые части файловой системы, удалять файлы, раскрыть память процесса и данные о пользователе, подменить пользовательский интерфейс, получить доступ к конфиденциальным данным пользователя, его паролям, произвольным файлам и информации о его местоположении, вызвать неожиданное завершение работы процесса или приложения, повреждение памяти ядра и ошибку типа «отказ в обслуживании». В macOS Sonoma и macOS Ventura также устранена уязвимость «нулевого дня» CVE-2025-24085.
В браузере Safari 18.4 исправлено 14 уязвимостей. Они позволяют злоумышленнику обойти ограничения безопасности, подменить адресную строку и пользовательский интерфейс, получить доступ к конфиденциальным данным пользователя, осуществить атаку типа «межсайтовый скриптинг» (XSS-атака), вызвать неожиданный сбой в работе браузера или процесса.
В операционных системах watchOS 11.4 и tvOS 18.4 устранено 46 и 36 уязвимостей соответственно. Их эксплуатация может позволить злоумышленнику обойти ограничения безопасности, повысить привилегии, получить доступ к конфиденциальным данным пользователя и произвольным файлам, раскрыть память процесса, удалять файлы, подменить пользовательский интерфейс, выполнить произвольный код, вызвать неожиданное завершение работы приложения, повреждение памяти процесса и ошибку типа «отказ в обслуживании».
В операционной системе для гарнитуры дополненной и виртуальной реальности visionOS 2.4 устранено 38 уязвимостей. Их эксплуатация может позволить злоумышленнику обойти ограничения безопасности, повысить привилегии, выполнить произвольный код, раскрыть память процесса, удалять файлы, получить доступ к конфиденциальным данным пользователя и информации о его местоположении, вызвать сбой в работе процесса, повреждение памяти процесса, неожиданное завершение работы системы, а также ошибку типа «отказ в обслуживании».
В среде разработки приложений Xcode 16.3 для операционной системы macOS Sequoia 15.2 и более ранних версий устранены две уязвимости. Они могут позволить злоумышленнику перезаписать произвольные файлы и получить несанкционированный доступ к личной информации пользователя.
Национальный координационный центр по компьютерным инцидентам рекомендует устанавливать обновления только после оценки всех сопутствующих рисков.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
