[TLP:CLEAR] Apple opravuje 110 zranitelností
Apple opravuje 110 zranitelností ve svých produktech. Vybrané z nich naleznete níže, zbývající jsou popsány na stránkách výrobce [1] a v přehledné tabulce na [2]. Produkty a jejich opravené verze: iOS - 26.1 [3], 18.7.2 [4] iPadOS - 26.1 [3], 18.7.2 [4] macOS - Tahoe 26.1 [5], Sequoia 15.7.2 [6], Sonoma 14.8.2 [7] tvOS - 26.1 [8] watchOS - 26.1 [9] visionOS - 26.1 [10] Safari - 26.1 [11] Xcode - 26.1 [12]
Neautentizovanému vzdálenému útočníkovi je kvůli chybné správě paměti v komponentě WebKit v systémech iOS, iPadOS, macOS Tahoe, watchOS, tvOS a visionOS a v Safari umožněno poškodit paměť při procesu zpracování škodlivého webového obsahu [13].
Zranitelnost se nachází v produktech:
- iOS ve verzích <26.1
- iPadOS ve verzích <26.1
- macOS ve verzích <26.1
- watchOS ve verzích <26.1
- tvOS ve verzích <26.1
- visionOS ve verzích <26.1
- Safari ve verzích <26.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-43431 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zranitelnost byla veřejně oznámena 3. 11. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli nesprávné práci s pamětí v systémech iOS, iPadOS, watchOS, tvOS a visionOS umožněno neočekávaně ukončit systém či poškodit paměť jádra [14].
Zranitelnost se nachází v produktech:
- iOS ve verzích <26.1
- iPadOS ve verzích <26.1
- watchOS ve verzích <26.1
- tvOS ve verzích <26.1
- visionOS ve verzích <26.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-43462 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zranitelnost byla veřejně oznámena 3. 11. 2025.
Neautentizovanému lokálnímu útočníkovi je kvůli nesprávné validaci vstupu v systémech iOS, iPadOS, macOS Sonoma, watchOS, tvOS, visionOS umožněno pomocí sociálního inženýrství poškodit pamět při procesu zpracování škodlivě upraveného mediálního souboru [15].
Zranitelnost se nachází v produktech:
- iOS ve verzích <26.1
- iPadOS ve verzích <26.1
- macOS ve verzích <14.8.2
- watchOS ve verzích <26.1
- tvOS ve verzích <26.1
- visionOS ve verzích <26.1
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
Neautentizovanému lokálnímu útočníkovi je kvůli nedostatečné kontrole přístupu v systémech iOS, iPadOS, macOS Tahoe, macOS Sonoma, macOS Sequoia, tvOS a visionOS umožněno obejít sandbox a uniknout z jeho izolace [16].
Zranitelnost se nachází v produktech:
- iOS ve verzích <26.1
- iPadOS ve verzích <26.1
- macOS ve verzích (<26.1) OR (>=15.0 AND <15.7.2) OR (>=14.0 AND <14.8.2)
- tvOS ve verzích <26.1
- visionOS ve verzích <26.1
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-43407 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zranitelnost byla veřejně oznámena 3. 11. 2025.
Autentizovanému lokálnímu útočníkovi je kvůli nedostatečné validaci vstupu v systémech macOS Sonoma a macOS Sequoia umožněno pomocí škodlivé aplikace získat oprávnění root [17].
Zranitelnost se nachází v produktu macOS ve verzích (<26.1) OR (>=15.0 AND <15.7.2) OR (>=14.0 AND <14.8.2).
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-43472 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-269: Improper Privilege Management at cwe.mitre.org
Zranitelnost byla veřejně oznámena 3. 11. 2025.
Odkazy
- [1] https://support.apple.com/en-us/100100
- [2] https://isc.sans.edu/diary/Apple+Patches+Everything+Again/32448/
- [3] https://support.apple.com/en-us/125632
- [4] https://support.apple.com/en-us/125633
- [5] https://support.apple.com/en-us/125634
- [6] https://support.apple.com/en-us/125635
- [7] https://support.apple.com/en-us/125636
- [8] https://support.apple.com/en-us/125637
- [9] https://support.apple.com/en-us/125639
- [10] https://support.apple.com/en-us/125638
- [11] https://support.apple.com/en-us/125640
- [12] https://support.apple.com/en-us/125641
- [13] https://www.cve.org/CVERecord?id=CVE-2025-43431
- [14] https://nvd.nist.gov/vuln/detail/CVE-2025-43462
- [15] https://nvd.nist.gov/vuln/detail/CVE-2025-43372
- [16] https://nvd.nist.gov/vuln/detail/CVE-2025-43407
- [17] https://www.tenable.com/cve/CVE-2025-43472
Za CESNET-CERTS Michaela Jarošová dne 11. 11. 2025.
