Menu dostępności

Apple łata pierwszy zero-day w 2025 roku

Zaczynamy odliczanie! Apple łata pierwszy zero-day w 2025 roku

Tytuł trochę prowokacyjny. Przecież nie będziemy liczyć wszystkich zero-dayów naszego ulubionego producenta spod znaku nadgryzionego jabłka. Niemniej bez satysfakcji informujemy, że w poniedziałek Apple ogłosiło poprawki dla dziesiątek luk w zabezpieczeniach swoich produktów mobilnych i stacjonarnych, w tym luki w systemie iOS wykorzystywanej w atakach. Jest to podatność typu zero-day.

Błąd został sklasyfikowany pod numerem CVE-2025-24085 i opisany jako problem typu use-after-free w komponencie CoreMedia. Może zostać wykorzystany przez złośliwe aplikacje w celu podniesienia uprawnień.

„Firma Apple jest świadoma, że problem ten mógł zostać aktywnie wykorzystany w wersjach systemu iOS sprzed wersji iOS 17.2” – potwierdza gigant technologiczny w swoim komunikacie.

Apple twierdzi, że lukę w zabezpieczeniach rozwiązano dzięki ulepszonemu zarządzaniu pamięcią, ale nie podaje szczegółowych informacji na temat jej wykorzystania. Nie informuje również o scenariuszach wykorzystania podatności na swoich platformach. Doprecyzowując, poprawki zostały udostępnione dla systemów macOS Sequoia, tvOS, visionOS i watchOS.

Wraz z poniedziałkowymi komunikatami bezpieczeństwa wydano iOS 18.3 i iPadOS 18.3 z poprawkami dla CVE-2025-24085 i 28 innych błędów, które mogą prowadzić do ominięcia uwierzytelniania, odmowy usługi (DoS), wykonania dowolnego kodu, eskalacji uprawnień, pominięcia wymogu odcisku palca użytkownika, modyfikacji plików systemowych, podszywania się, ujawniania informacji i wstrzykiwania poleceń.

MacOS Sequoia 15.3 został wydany z poprawkami dla CVE-2025-24085 i 60 innych problemów. Apple ogłosiło również wydanie macOS Sonoma 14.7.3 i macOS Ventura 13.7.3 z poprawkami dla odpowiednio ponad 40 i 30 luk w zabezpieczeniach.

W poniedziałek Apple wydało iPadOS 17.7.4 z 17 poprawkami, tvOS 18.3 i watchOS 11.3 z 18 poprawkami oraz visionOS 2.3 z 21 poprawkami.

Ponadto producent wprowadził Safari 18.3 z poprawkami dla siedmiu luk, które mogą prowadzić do ominięcia uwierzytelniania rozszerzeń przeglądarki, podszywania się pod interfejs użytkownika lub pod pasek adresu, pominięcia wymogu odcisku palca użytkownika, DoS, nieoczekiwanego zawieszenia procesu i wstrzyknięcia polecenia. Użytkownikom jak zwykle zaleca się jak najszybsze zastosowanie dostępnych poprawek. Dodatkowe informacje można znaleźć na stronie Apple z wersjami zabezpieczeń.

Użytkownicy, którzy nie aktualizują starszych wersji iOS, są narażeni na wykorzystanie luk, w tym nieautoryzowany dostęp do danych, straty finansowe i naruszenie prywatności. To poważne podatności. Mogą umożliwić atakującym wykonanie dowolnego kodu, dać dostęp do poufnych lub tajnych informacji oraz naruszyć bezpieczeństwo danych osobowych i korporacyjnych.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...