Zaczynamy odliczanie! Apple łata pierwszy zero-day w 2025 roku

Tytuł trochę prowokacyjny. Przecież nie będziemy liczyć wszystkich zero-dayów naszego ulubionego producenta spod znaku nadgryzionego jabłka. Niemniej bez satysfakcji informujemy, że w poniedziałek Apple ogłosiło poprawki dla dziesiątek luk w zabezpieczeniach swoich produktów mobilnych i stacjonarnych, w tym luki w systemie iOS wykorzystywanej w atakach. Jest to podatność typu zero-day.

Autor: Kapitan Hack Data dodania: 31 sty 2025 07:12 3 min czytania

Błąd został sklasyfikowany pod numerem CVE-2025-24085 i opisany jako problem typu use-after-free w komponencie CoreMedia. Może zostać wykorzystany przez złośliwe aplikacje w celu podniesienia uprawnień.

„Firma Apple jest świadoma, że problem ten mógł zostać aktywnie wykorzystany w wersjach systemu iOS sprzed wersji iOS 17.2” – potwierdza gigant technologiczny w swoim komunikacie.

Apple twierdzi, że lukę w zabezpieczeniach rozwiązano dzięki ulepszonemu zarządzaniu pamięcią, ale nie podaje szczegółowych informacji na temat jej wykorzystania. Nie informuje również o scenariuszach wykorzystania podatności na swoich platformach. Doprecyzowując, poprawki zostały udostępnione dla systemów macOS Sequoia, tvOS, visionOS i watchOS.

Wraz z poniedziałkowymi komunikatami bezpieczeństwa wydano iOS 18.3 i iPadOS 18.3 z poprawkami dla CVE-2025-24085 i 28 innych błędów, które mogą prowadzić do ominięcia uwierzytelniania, odmowy usługi (DoS), wykonania dowolnego kodu, eskalacji uprawnień, pominięcia wymogu odcisku palca użytkownika, modyfikacji plików systemowych, podszywania się, ujawniania informacji i wstrzykiwania poleceń.

MacOS Sequoia 15.3 został wydany z poprawkami dla CVE-2025-24085 i 60 innych problemów. Apple ogłosiło również wydanie macOS Sonoma 14.7.3 i macOS Ventura 13.7.3 z poprawkami dla odpowiednio ponad 40 i 30 luk w zabezpieczeniach.

W poniedziałek Apple wydało iPadOS 17.7.4 z 17 poprawkami, tvOS 18.3 i watchOS 11.3 z 18 poprawkami oraz visionOS 2.3 z 21 poprawkami.

Ponadto producent wprowadził Safari 18.3 z poprawkami dla siedmiu luk, które mogą prowadzić do ominięcia uwierzytelniania rozszerzeń przeglądarki, podszywania się pod interfejs użytkownika lub pod pasek adresu, pominięcia wymogu odcisku palca użytkownika, DoS, nieoczekiwanego zawieszenia procesu i wstrzyknięcia polecenia. Użytkownikom jak zwykle zaleca się jak najszybsze zastosowanie dostępnych poprawek. Dodatkowe informacje można znaleźć na stronie Apple z wersjami zabezpieczeń.

Użytkownicy, którzy nie aktualizują starszych wersji iOS, są narażeni na wykorzystanie luk, w tym nieautoryzowany dostęp do danych, straty finansowe i naruszenie prywatności. To poważne podatności. Mogą umożliwić atakującym wykonanie dowolnego kodu, dać dostęp do poufnych lub tajnych informacji oraz naruszyć bezpieczeństwo danych osobowych i korporacyjnych.