[TLP:CLEAR] Apple opravuje přes 80 zranitelností
Apple opravuje více než 80 zranitelností ve svých produktech. Vybrané z nich naleznete níže, zbývající jsou popsány na stránkách výrobce [1] a v přehledné tabulce na [2]. Produkty a jejich opravené verze: macOS - Tahoe 26 [3], Sequoia 15.7 [4], Sonoma 14.8 [5] iOS - 26 [6], 18.7 [7], 16.7.12 [8], 15.8.5 [9] iPadOS - 26 [6], 18.7 [7], 16.7.12 [8], 15.8.5 [9] tvOS - 26 [10] watchOS - 26 [11] visionOS - 26 [12] Safari - 26 [13] Xcode - 26 [14]
Autentizovanému lokálnímu útočníkovi je v systémech macOS Sequoia, Sonoma a Tahoe, iOS a iPadOS umožněno obejít sandboxová omezení aplikace Zkratky (Shortcuts) [15].
Zranitelnost se nachází v produktech:
- macOS ve verzích (>=14 AND <14.8) OR (>=15 AND <15.7)
- iOS ve verzích >=18 AND <18.7
- iPadOS ve verzích >18 AND <18.7
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-43358 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 9. 2025.
Autentizovanému lokálnímu útočníkovi je kvůli zranitelnosti typu race condition v komponentě StorageKit v systémech macOS Sequoia, Sonoma a Tahoe umožněno získat oprávnění root [16].
Zranitelnost se nachází v produktu macOS ve verzích (>=14 AND <14.8) OR (>=15 AND <15.7).
CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-43304 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 9. 2025.
Neautentizovanému lokálnímu útočníkovi je parsováním škodlivého řetězce v knihovně Libinfo v systémech macOS Sequoia, Sonoma a Tahoe umožněno poškodit paměť (heap corruption) [17].
Zranitelnost se nachází v produktu macOS ve verzích (>=14 AND <14.8) OR (>=15 AND <15.7).
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H
Více informací:
- CVE-2025-43353 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 9. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli chybě v komponentě LaunchServices v systémech iOS a iPadOS umožněno neoprávněně monitorovat stisky kláves (keylogging) [18].
Zranitelnost se nachází v produktech:
- iOS ve verzích >=18 AND <18.7
- iPadOS ve verzích >=18 AND <18.7
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2025-43362 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 9. 2025.
Odkazy
- [1] https://support.apple.com/en-us/100100
- [2] https://isc.sans.edu/diary/Apple%20Updates%20Everything%20-%20iOS%20macOS%2026%20Edition/32286
- [3] https://support.apple.com/en-us/125110
- [4] https://support.apple.com/en-us/125111
- [5] https://support.apple.com/en-us/125112
- [6] https://support.apple.com/en-us/125108
- [7] https://support.apple.com/en-us/125109
- [8] https://support.apple.com/en-us/125141
- [9] https://support.apple.com/en-us/125142
- [10] https://support.apple.com/en-us/125114
- [11] https://support.apple.com/en-us/125116
- [12] https://support.apple.com/en-us/125115
- [13] https://support.apple.com/en-us/125113
- [14] https://support.apple.com/en-us/125117
- [15] https://nvd.nist.gov/vuln/detail/CVE-2025-43358
- [16] https://nvd.nist.gov/vuln/detail/CVE-2025-43304
- [17] https://nvd.nist.gov/vuln/detail/CVE-2025-43353
- [18] https://nvd.nist.gov/vuln/detail/CVE-2025-43362
Za CESNET-CERTS Michaela Ručková dne 18. 9. 2025.
