| 27 января 2025 г. — 11:08 PT
Apple регулярно публикует списки устраненных уязвимостей для iPhone, iPad и Mac после каждого обновления программного обеспечения. Как и ожидалось, компания выпустила обширный список исправлений безопасности, включенных в сегодняшние обновления программного обеспечения iOS 18.3 и macOS Sequoia 15.3. Как всегда, мы рекомендуем обновить устройства как можно скорее, чтобы защитить их от этих рисков безопасности.
Вот исправления, выпущенные сегодня для iPhone, iPad и Mac:
Содержание
iOS 18.3
Доступность
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: злоумышленник с физическим доступом к разблокированному устройству может получить доступ к «Фото» при заблокированном приложении
Описание: Проблема аутентификации была устранена улучшенным управлением состоянием.
CVE-2025-24141: Abhay Kailasia (@abhay_kailasia) из C-DAC Thiruvananthapuram, Индия
AirPlay
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: злоумышленник в локальной сети может вызвать неожиданное завершение работы системы или повредить память процесса
Описание: Проблема проверки входных данных была устранена.
CVE-2025-24126: Uri Katz (Oligo Security)
AirPlay
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: злоумышленник с правами доступа к сети может вызвать неожиданное завершение работы приложения
Описание: Проблема путаницы типов была устранена улучшенными проверками.
CVE-2025-24129: Uri Katz (Oligo Security)
AirPlay
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: злоумышленник с привилегированной позицией может выполнить отказ в обслуживании
Описание: Проблема была устранена улучшенным управлением памятью.
CVE-2025-24131: Uri Katz (Oligo Security)
AirPlay
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: злоумышленник с правами доступа к сети может вызвать отказ в обслуживании
Описание: Проблема нулевого указателя была устранена улучшенной проверкой входных данных.
CVE-2025-24177: Uri Katz (Oligo Security)
AirPlay
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: злоумышленник с правами доступа к сети может вызвать неожиданное завершение работы приложения или выполнение произвольного кода
Описание: Проблема путаницы типов была устранена улучшенными проверками.
CVE-2025-24137: Uri Katz (Oligo Security)
ARKit
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: обработка файла может привести к неожиданному завершению работы приложения
Описание: Проблема была устранена улучшенными проверками.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu и Xingwei Lin из Zhejiang University
CoreAudio
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: обработка файла может привести к неожиданному завершению работы приложения
Описание: Проблема была устранена улучшенными проверками.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: обработка файла может привести к неожиданному завершению работы приложения
Описание: Проблема была устранена улучшенными проверками.
CVE-2025-24123: Desmond, работающий с Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang), работающий с Trend Micro Zero Day Initiative
CoreMedia
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: вредоносное приложение может повысить свои привилегии. Apple осведомлена об отчете о том, что эта проблема могла активно использоваться против версий iOS до iOS 17.2.
Описание: Проблема использования после освобождения была устранена улучшенным управлением памятью.
CVE-2025-24085
ImageIO
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: обработка изображения может привести к отказу в обслуживании
Описание: Проблема была устранена улучшенным управлением памятью.
CVE-2025-24086: DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat, D4m0n
Ядро
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: вредоносное приложение может получить привилегии root
Описание: Проблема разрешений была устранена дополнительными ограничениями.
CVE-2025-24107: анонимный исследователь
Ядро
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: приложение может выполнить произвольный код с привилегиями ядра
Описание: Проблема проверки была устранена улучшенной логикой.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: приложение может идентифицировать пользователя
Описание: Эта проблема была устранена улучшенным сокрытием конфиденциальной информации.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
libxslt
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: обработка специально созданного веб-контента может привести к неожиданному сбою процесса
Описание: Эта проблема была устранена улучшенным управлением состоянием.
CVE-2025-24166: Ivan Fratric из Google Project Zero
Управляемая конфигурация
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: восстановление специально созданного файла резервной копии может привести к изменению защищенных системных файлов
Описание: Проблема была устранена улучшенной обработкой символических ссылок.
CVE-2025-24104: Hichem Maloufi, Hakim Boukhadra
Ключи доступа
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: приложение может получить несанкционированный доступ к Bluetooth
Описание: Это уязвимость в коде с открытым исходным кодом, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE был назначен третьей стороной. Узнайте больше о проблеме и идентификаторе CVE на cve.org.
CVE-2024-9956: mastersplinter
Safari
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: посещение вредоносного веб-сайта может привести к подмене адресной строки
Описание: Проблема была устранена добавлением дополнительной логики.
CVE-2025-24128: @RenwaX23
Safari
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса
Описание: Проблема была устранена улучшенным пользовательским интерфейсом.
CVE-2025-24113: @RenwaX23
SceneKit
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: обработка файла может привести к раскрытию информации о пользователе
Описание: Проблема чтения за пределами диапазона была устранена улучшенной проверкой границ.
CVE-2025-24149: Michael DePlante (@izobashi) из Trend Micro Zero Day Initiative
Часовой пояс
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: приложение может просмотреть номер телефона контакта в системных журналах
Описание: Проблема конфиденциальности была устранена улучшенным сокрытием личных данных в записях журналов.
CVE-2025-24145: Kirin (@Pwnrin)
WebContentFilter
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: злоумышленник может вызвать неожиданное завершение работы системы или повредить память ядра
Описание: Проблема записи за пределами диапазона была устранена улучшенной проверкой входных данных.
CVE-2025-24154: анонимный исследователь
WebKit
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: специально созданная веб-страница может идентифицировать пользователя
Описание: Проблема была устранена улучшенными ограничениями доступа к файловой системе.
WebKit Bugzilla: 283117
CVE-2025-24143: анонимный исследователь
WebKit
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: обработка веб-контента может привести к отказу в обслуживании
Описание: Проблема была устранена улучшенным управлением памятью.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) из NUS CuriOSity и P1umer (@p1umer) из Imperial Global Singapore.
WebKit
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: обработка специально созданного веб-контента может привести к неожиданному сбою процесса
Описание: Эта проблема была устранена улучшенным управлением состоянием.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy из HKUS3Lab и chluo из WHUSecLab
WebKit Web Inspector
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее
Воздействие: копирование URL из Web Inspector может привести к инъекции команд
Описание: Проблема конфиденциальности была устранена улучшенной обработкой файлов.
WebKit Bugzilla: 283718
CVE-2025-24150: Johan Carlsson (joaxcar)
macOS 15.3
AirPlay
Доступно для: macOS Sequoia
Воздействие: злоумышленник в локальной сети может вызвать неожиданное завершение работы системы или повредить память процесса
Описание: Проблема проверки входных данных была устранена.
CVE-2025-24126: Uri Katz (Oligo Security)
AirPlay
Доступно для: macOS Sequoia
Воздействие: злоумышленник с правами доступа к сети может вызвать неожиданное завершение работы приложения
Описание: Проблема путаницы типов была устранена улучшенными проверками.
CVE-2025-24129: Uri Katz (Oligo Security)
AirPlay
Доступно для: macOS Sequoia
Воздействие: злоумышленник с привилегированной позицией может выполнить отказ в обслуживании
Описание: Проблема была устранена улучшенным управлением памятью.
CVE-2025-24131: Uri Katz (Oligo Security)
AirPlay
Доступно для: macOS Sequoia
Воздействие: злоумышленник с правами доступа к сети может вызвать отказ в обслуживании
Описание: Проблема нулевого указателя была устранена улучшенной проверкой входных данных.
CVE-2025-24177: Uri Katz (Oligo Security)
AirPlay
Доступно для: macOS Sequoia
Воздействие: злоумышленник с правами доступа к сети может вызвать неожиданное завершение работы приложения или выполнение произвольного кода
Описание: Проблема путаницы типов была устранена улучшенными проверками.
CVE-2025-24137: Uri Katz (Oligo Security)
AppKit
Доступно для: macOS Sequoia
Воздействие: приложение может получить доступ к защищенным пользовательским данным
Описание: Проблема была устранена дополнительными проверками разрешений.
CVE-2025-24087: Mickey Jin (@patch1t)
AppleGraphicsControl
Доступно для: macOS Sequoia
Воздействие: обработка файла может привести к неожиданному завершению работы приложения
Описание: Проблема была устранена улучшенными проверками.
CVE-2025-24112: D4m0n
AppleMobileFileIntegrity
Доступно для: macOS Sequoia
Воздействие: приложение может получить доступ к информации о контактах пользователя
Описание: Проблема логики была устранена улучшенными ограничениями.
CVE-2025-24100: Kirin (@Pwnrin)
AppleMobileFileIntegrity
Доступно для: macOS Sequoia
Воздействие: приложение может получить доступ к конфиденциальным пользовательским данным
Описание: Проблема понижения версии была устранена дополнительными ограничениями подписи кода.
CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)
AppleMobileFileIntegrity
Доступно для: macOS Sequoia
Воздействие: приложение может изменять защищенные части файловой системы
Описание: Проблема разрешений была устранена дополнительными ограничениями.
CVE-2025-24114: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Доступно для: macOS Sequoia
Воздействие: приложение может изменять защищенные части файловой системы
Описание: Проблема логики была устранена улучшенными проверками.
CVE-2025-24121: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Доступно для: macOS Sequoia
Воздействие: приложение может изменять защищенные части файловой системы
Описание: Проблема понижения версии, затрагивающая Mac-компьютеры на базе Intel, была устранена дополнительными ограничениями подписи кода.
CVE-2025-24122: Mickey Jin (@patch1t)
ARKit
Доступно для: macOS Sequoia
Воздействие: обработка файла может привести к неожиданному завершению работы приложения
Описание: Проблема была устранена улучшенными проверками.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu и Xingwei Lin из Zhejiang University
Аудио
Доступно для: macOS Sequoia
Воздействие: обработка файла может привести к неожиданному завершению работы приложения
Описание: Проблема была устранена улучшенными проверками.
CVE-2025-24106: Wang Yu из Cyberserval
CoreAudio
Доступно для: macOS Sequoia
Воздействие: обработка файла может привести к неожиданному завершению работы приложения
Описание: Проблема была устранена улучшенными проверками.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Доступно для: macOS Sequoia
Воздействие: обработка файла может привести к неожиданному завершению работы приложения
Описание: Проблема была устранена улучшенными проверками.
CVE-2025-24123: Desmond, работающий с Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang), работающий с Trend Micro Zero Day Initiative
CoreMedia
Доступно для: macOS Sequoia
Воздействие: вредоносное приложение может повысить свои привилегии. Apple осведомлена об отчете о том, что эта проблема могла активно использоваться против версий iOS до iOS 17.2.
Описание: Проблема использования после освобождения была устранена улучшенным управлением памятью.
CVE-2025-24085
CoreRoutine
Доступно для: macOS Sequoia
Воздействие: приложение может определить текущее местоположение пользователя
Описание: Проблема была устранена улучшенными проверками.
CVE-2025-24102: Kirin (@Pwnrin)
FaceTime
Доступно для: macOS Sequoia
Воздействие: приложение может получить доступ к пользовательским конфиденциальным данным
Описание: Проблема раскрытия информации была устранена улучшенным управлением конфиденциальностью.
CVE-2025-24134: Kirin (@Pwnrin)
iCloud
Доступно для: macOS Sequoia
Воздействие: файлы, загруженные из Интернета, могут не иметь примененного флага карантина
Описание: Эта проблема была устранена улучшенным управлением состоянием.
CVE-2025-24140: Matej Moravec (@MacejkoMoravec)
Библиотека фотографий iCloud
Доступно для: macOS Sequoia
Воздействие: приложение может обойти настройки конфиденциальности
Описание: Проблема была устранена улучшенными проверками.
CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones
ImageIO
Доступно для: macOS Sequoia
Воздействие: обработка изображения может привести к отказу в обслуживании
Описание: Проблема была устранена улучшенным управлением памятью.
CVE-2025-24086: DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat, D4m0n
Ядро
Доступно для: macOS Sequoia
Воздействие: приложение может вызвать неожиданное завершение работы системы или записать в память ядра
Описание: Проблема была устранена улучшенным управлением памятью.
CVE-2025-24118: Joseph Ravichandran (@0xjprx) из MIT CSAIL
Ядро
Доступно для: macOS Sequoia
Воздействие: вредоносное приложение может получить привилегии root
Описание: Проблема разрешений была устранена дополнительными ограничениями.
CVE-2025-24107: анонимный исследователь
Ядро
Доступно для: macOS Sequoia
Воздействие: приложение может выполнить произвольный код с привилегиями ядра
Описание: Проблема проверки была устранена улучшенной логикой.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Доступно для: macOS Sequoia
Воздействие: приложение может получить доступ к пользовательским конфиденциальным данным
Описание: Проблема состояния гонки была устранена дополнительной проверкой.
CVE-2025-24094: анонимный исследователь
LaunchServices
Доступно для: macOS Sequoia
Воздействие: приложение может читать файлы вне своей песочницы
Описание: Проблема обработки путей была устранена улучшенной проверкой.
CVE-2025-24115: анонимный исследователь
LaunchServices
Доступно для: macOS Sequoia
Воздействие: приложение может обойти настройки конфиденциальности
Описание: Проблема доступа была устранена дополнительными ограничениями песочницы.
CVE-2025-24116: анонимный исследователь
LaunchServices
Доступно для: macOS Sequoia
Воздействие: приложение может идентифицировать пользователя
Описание: Эта проблема была устранена улучшенным сокрытием конфиденциальной информации.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
libxslt
Доступно для: macOS Sequoia
Воздействие: обработка специально созданного веб-контента может привести к неожиданному сбою процесса
Описание: Эта проблема была устранена улучшенным управлением состоянием.
CVE-2025-24166: Ivan Fratric из Google Project Zero
Окно входа
Доступно для: macOS Sequoia
Воздействие: вредоносное приложение может создавать символические ссылки на защищенные области диска
Описание: Эта проблема была устранена улучшенной проверкой символических ссылок.
CVE-2025-24136: 云散
Сообщения
Доступно для: macOS Sequoia
Воздействие: приложение может получить доступ к пользовательским конфиденциальным данным
Описание: Эта проблема была устранена улучшенным сокрытием конфиденциальной информации.
CVE-2025-24101: Kirin (@Pwnrin)
NSDocument
Доступно для: macOS Sequoia
Воздействие: вредоносное приложение может получить доступ к произвольным файлам
Описание: Эта проблема была устранена улучшенным управлением состоянием.
CVE-2025-24096: анонимный исследователь
PackageKit
Доступно для: macOS Sequoia
Воздействие: приложение может изменять защищенные части файловой системы
Описание: Проблема была устранена улучшенными проверками.
CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)
Пароли
Доступно для: macOS Sequoia
Воздействие: вредоносное приложение может обойти аутентификацию расширений браузера
Описание: Проблема журналирования была устранена улучшенным сокрытием данных.
CVE-2025-24169: Josh Parnham (@joshparnham)
Хранилище фотографий
Доступно для: macOS Sequoia
Воздействие: удаление разговора в «Сообщениях» может раскрыть контактную информацию пользователя в системных журналах
Описание: Эта проблема была устранена улучшенным сокрытием конфиденциальной информации.
CVE-2025-24146: 神罚(@Pwnrin)
Safari
Доступно для: macOS Sequoia
Воздействие: посещение вредоносного веб-сайта может привести к подмене адресной строки
Описание: Проблема была устранена добавлением дополнительной логики.
CVE-2025-24128: @RenwaX23
Safari
Доступно для: macOS Sequoia
Воздействие: посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса
Описание: Проблема была устранена улучшенным пользовательским интерфейсом.
CVE-2025-24113: @RenwaX23
SceneKit
Доступно для: macOS Sequoia
Воздействие: обработка файла может привести к раскрытию информации о пользователе
Описание: Проблема чтения за пределами диапазона была устранена улучшенной проверкой границ.
CVE-2025-24149: Michael DePlante (@izobashi) из Trend Micro Zero Day Initiative
Безопасность
Доступно для: macOS Sequoia
Воздействие: приложение может получить доступ к защищенным пользовательским данным
Описание: Эта проблема была устранена улучшенной проверкой символических ссылок.
CVE-2025-24103: Zhongquan Li (@Guluisacat)
SharedFileList
Доступно для: macOS Sequoia
Воздействие: приложение может получить доступ к защищенным пользовательским данным
Описание: Проблема доступа была устранена дополнительными ограничениями песочницы.
CVE-2025-24108: анонимный исследователь
sips
Доступно для: macOS Sequoia
Воздействие: обработка специально созданного файла может привести к неожиданному завершению работы приложения
Описание: Проблема была устранена улучшенными проверками.
CVE-2025-24139: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative
SMB
Доступно для: macOS Sequoia
Воздействие: приложение может вызвать неожиданное завершение работы системы или повредить память ядра
Описание: Проблема была устранена улучшенным управлением памятью.
CVE-2025-24151: анонимный исследователь
CVE-2025-24152: анонимный исследователь
SMB
Доступно для: macOS Sequoia
Воздействие: приложение с правами root может выполнить произвольный код с привилегиями ядра
Описание: Проблема переполнения буфера была устранена улучшенным управлением памятью.
CVE-2025-24153: анонимный исследователь
Spotlight
Доступно для: macOS Sequoia
Воздействие: вредоносное приложение может раскрыть конфиденциальную информацию пользователя
Описание: Эта проблема была устранена улучшенным управлением состоянием.
CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) из Lupus Nova
StorageKit
Доступно для: macOS Sequoia
Воздействие: вредоносное приложение может получить привилегии root
Описание: Проблема разрешений была устранена дополнительными ограничениями.
CVE-2025-24107: анонимный исследователь
StorageKit
Доступно для: macOS Sequoia
Воздействие: локальный злоумышленник может повысить свои привилегии
Описание: Проблема разрешений была устранена улучшенной проверкой.
CVE-2025-24176: Yann GASCUEL из Alter Solutions
Системные расширения
Доступно для: macOS Sequoia
Воздействие: приложение может получить повышенные привилегии
Описание: Эта проблема была устранена улучшенной проверкой сообщений.
CVE-2025-24135: Arsenii Kostromin (0x3c3e)
Часовой пояс
Доступно для: macOS Sequoia
Воздействие: приложение может просмотреть номер телефона контакта в системных журналах
Описание: Проблема конфиденциальности была устранена улучшенным сокрытием личных данных в записях журналов.
CVE-2025-24145: Kirin (@Pwnrin)
ТВ-приложение
Доступно для: macOS Sequoia
Воздействие: приложение может прочитать конфиденциальную информацию о местоположении
Описание: Эта проблема была устранена улучшенной защитой данных.
CVE-2025-24092: Adam M.
WebContentFilter
Доступно для: macOS Sequoia
Воздействие: злоумышленник может вызвать неожиданное завершение работы системы или повредить память ядра
Описание: Проблема записи за пределами диапазона была устранена улучшенной проверкой входных данных.
CVE-2025-24154: анонимный исследователь
WebKit
Доступно для: macOS Sequoia
Воздействие: специально созданная веб-страница может идентифицировать пользователя
Описание: Проблема была устранена улучшенными ограничениями доступа к файловой системе.
WebKit Bugzilla: 283117
CVE-2025-24143: анонимный исследователь
WebKit
Доступно для: macOS Sequoia
Воздействие: обработка веб-контента может привести к отказу в обслуживании
Описание: Проблема была устранена улучшенным управлением памятью.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) из NUS CuriOSity и P1umer (@p1umer) из Imperial Global Singapore.
WebKit
Доступно для: macOS Sequoia
Воздействие: обработка специально созданного веб-контента может привести к неожиданному сбою процесса
Описание: Эта проблема была устранена улучшенным управлением состоянием.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy из HKUS3Lab и chluo из WHUSecLab
WebKit Web Inspector
Доступно для: macOS Sequoia
Воздействие: копирование URL из Web Inspector может привести к инъекции команд
Описание: Устранена проблема конфиденциальности за счет улучшения обработки файлов.
WebKit Bugzilla: 283718
CVE-2025-24150: Йохан Карлссон (joaxcar)
WindowServer
Доступно для: macOS Sequoia
Влияние: Злоумышленник может вызвать непредвиденное завершение работы приложения.
Описание: Эта проблема была устранена за счет улучшения управления временем жизни объектов.
CVE-2025-24120: PixiePoint Security
Xsan
Доступно для: macOS Sequoia
Влияние: Приложение может получить повышенные привилегии.
Описание: Переполнение целых чисел было устранено за счет улучшения проверки входных данных.
CVE-2025-24156: анонимный исследователь
watchOS 11.3
AirPlay
Доступно для: Apple Watch Series 6 и новее
Влияние: Злоумышленник в локальной сети может вызвать непредвиденное завершение работы системы или повреждение памяти процесса.
Описание: Устранена проблема проверки входных данных.
CVE-2025-24126: Ури Кац (Oligo Security)
AirPlay
Доступно для: Apple Watch Series 6 и новее
Влияние: Удаленный злоумышленник может вызвать непредвиденное завершение работы приложения.
Описание: Проблема путаницы типов была устранена за счет улучшения проверок.
CVE-2025-24129: Ури Кац (Oligo Security)
AirPlay
Доступно для: Apple Watch Series 6 и новее
Влияние: Злоумышленник, занимающий привилегированное положение, может выполнить отказ в обслуживании.
Описание: Проблема была устранена за счет улучшения управления памятью.
CVE-2025-24131: Ури Кац (Oligo Security)
AirPlay
Доступно для: Apple Watch Series 6 и новее
Влияние: Удаленный злоумышленник может вызвать непредвиденное завершение работы приложения или выполнение произвольного кода.
Описание: Проблема путаницы типов была устранена за счет улучшения проверок.
CVE-2025-24137: Ури Кац (Oligo Security)
CoreAudio
Доступно для: Apple Watch Series 6 и новее
Влияние: Обработка файла может привести к непредвиденному завершению работы приложения.
Описание: Проблема была устранена за счет улучшения проверок.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Доступно для: Apple Watch Series 6 и новее
Влияние: Обработка файла может привести к непредвиденному завершению работы приложения.
Описание: Проблема была устранена за счет улучшения проверок.
CVE-2025-24123: Десмонд, работающий с Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car & Rotiple (Хён Сок Чан), работающие с Trend Micro Zero Day Initiative
CoreMedia
Доступно для: Apple Watch Series 6 и новее
Влияние: Вредоносное приложение может получить повышенные привилегии. Apple осведомлена о сообщении, что эта проблема могла активно использоваться против версий iOS до iOS 17.2.
Описание: Проблема использования после освобождения памяти была устранена за счет улучшения управления памятью.
CVE-2025-24085
ImageIO
Доступно для: Apple Watch Series 6 и новее
Влияние: Обработка изображения может привести к отказу в обслуживании.
Описание: Проблема была устранена за счет улучшения управления памятью.
CVE-2025-24086: Дон Джун Ким (@smlijun) и Джонг Сеонг Ким (@nevul37) из Enki WhiteHat, D4m0n
Kernel
Доступно для: Apple Watch Series 6 и новее
Влияние: Вредоносное приложение может получить права суперпользователя.
Описание: Проблема разрешений была устранена за счет дополнительных ограничений.
CVE-2025-24107: анонимный исследователь
Kernel
Доступно для: Apple Watch Series 6 и новее
Влияние: Приложение может выполнить произвольный код с привилегиями ядра.
Описание: Проблема проверки была устранена за счет улучшения логики.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Доступно для: Apple Watch Series 6 и новее
Влияние: Приложение может идентифицировать пользователя.
Описание: Эта проблема была устранена за счет улучшения скрытия конфиденциальной информации.
CVE-2025-24117: Майкл (Biscuit) Томас (@biscuit@social.lol)
libxslt
Доступно для: Apple Watch Series 6 и новее
Влияние: Обработка специально созданного веб-контента может привести к непредвиденному сбою процесса.
Описание: Эта проблема была устранена за счет улучшения управления состоянием.
CVE-2025-24166: Иван Фратрич из Google Project Zero
SceneKit
Доступно для: Apple Watch Series 6 и новее
Влияние: Обработка файла может привести к раскрытию информации о пользователе.
Описание: Чтение за пределами границ было устранено за счет улучшения проверки границ.
CVE-2025-24149: Майкл ДеПланте (@izobashi) из Trend Micro Zero Day Initiative
WebKit
Доступно для: Apple Watch Series 6 и новее
Влияние: Обработка веб-контента может привести к отказу в обслуживании.
Описание: Проблема была устранена за счет улучшения управления памятью.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) из NUS CuriOSity и P1umer (@p1umer) из Imperial Global Singapore.
WebKit
Доступно для: Apple Watch Series 6 и новее
Влияние: Обработка специально созданного веб-контента может привести к непредвиденному сбою процесса.
Описание: Эта проблема была устранена за счет улучшения управления состоянием.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy из HKUS3Lab и chluo из WHUSecLab
Apple также опубликовала документацию по обновлениям безопасности для iPadOS 17.7.4, macOS 14.7.3, macOS 13.7.3, tvOS 18.3 и Safari 18.3.