Apple v stredu (16.4.2025) vydal bezpečnostné aktualizácie pre iOS, iPadOS, macOS Sequoia, tvOS a visionOS s cieľom opraviť dve bezpečnostné zraniteľnosti, ktoré boli podľa spoločnosti aktívne zneužívané v reálnom svete.
Dotknuté zraniteľnosti sú nasledovné:
- CVE-2025-31200 (CVSS skóre: 7.5) – Zraniteľnosť spôsobená poškodením pamäte v rámci Core Audio, ktorá môže umožniť vykonanie kódu pri spracovaní zvukového streamu zo škodlivo vytvoreného mediálneho súboru.
- CVE-2025-31201 (CVSS skóre: 6.8) – Zraniteľnosť v komponente RPAC, ktorú môže útočník s možnosťou ľubovoľného čítania a zápisu využiť na obídenie autentifikácie ukazovateľov (Pointer Authentication).
Apple uviedol, že zraniteľnosť CVE-2025-31200 bola opravená vylepšením kontroly hraníc a CVE-2025-31201odstránením zraniteľnej časti kódu.
Obe zraniteľnosti boli nahlásené spoločnosťou Apple a skupinou Google Threat Analysis Group (TAG), ktorá nahlásila CVE-2025-31200.
Ako je zvykom pri takýchto upozorneniach, Apple poznamenal, že si je vedomý toho, že tieto problémy boli zneužité v mimoriadne sofistikovaných útokoch na konkrétne cielené osoby používajúce iOS.
Touto aktualizáciou Apple od začiatku roka opravil už celkovo päť aktívne zneužívaných zraniteľností typu zero-day:
- CVE-2025-24085 (CVSS skóre: 7.8) – Chyba typu use-after-free v komponente Core Media, ktorá môže umožniť škodlivej aplikácii nainštalovanej v zariadení zvýšiť si oprávnenia.
- CVE-2025-24200 (CVSS skóre: 4.6) – Problém s autorizáciou v komponente Accessibility, ktorý môže útočník využiť na vypnutie režimu USB Restricted Mode na zamknutom zariadení ako súčasť kyber-fyzického útoku.
- CVE-2025-24201 (CVSS skóre: 7.1) – Chyba zápisu mimo vyhradeného priestoru (out-of-bounds write) v komponente WebKit, ktorú možno zneužiť na únik z pieskoviska Web Content prostredníctvom škodlivého webového obsahu.
Aktualizácie sú dostupné pre tieto zariadenia a operačné systémy:
- iOS 18.4.1 a iPadOS 18.4.1 – iPhone XS a novšie, iPad Pro 13”, iPad Pro 13.9” 3. generácie a novšie, iPad Pro 11” 1. generácie a novšie, iPad Air 3. generácie a novšie, iPad 7. generácie a novšie, iPad mini 5. generácie a novšie
- macOS Sequoia 15.4.1 – Macy s macOS Sequoia
- tvOS 18.4.1 – Apple TV HD a Apple TV 4K (všetky modely)
- visionOS 2.4.1 – Apple Vision Pro
Vzhľadom na aktívne zneužívanie sa používateľom odporúča, aby si svoje zariadenia čo najskôr aktualizovali na najnovšiu verziu, aby sa ochránili pred možnými hrozbami.
Ďalšie informácie je možné nájsť na stránkach:
https://thehackernews.com/2025/04/apple-patches-two-actively-exploited.html