Η Apple έχει κυκλοφορήσει ενημερώσεις ασφαλείας ότι οι διορθώσεις backport για ενεργά εκμεταλλεύονται τα τρωτά σημεία που εκμεταλλεύτηκαν ως μηδενικές ημέρες σε παλαιότερες εκδόσεις των λειτουργικών της συστημάτων.
Ταυτόχρονα, ο γίγαντας της τεχνολογίας των καταναλωτών κυκλοφόρησε ενημερώσεις ασφαλείας για τις τελευταίες σταθερές iOS, iPados και macOS, αντιμετωπίζοντας πολυάριθμες ατέλειες ασφαλείας.
Επιστροφή διορθώσεων μηδενικής ημέρας
Το πρώτο backport αφορά το CVE-2025-24200, ένα ελάττωμα που ανακαλύφθηκε από το Lab Citizen που εκμεταλλεύτηκε τα κινητά εγκληματολογικά εργαλεία για να απενεργοποιήσει τη λειτουργία “περιορισμένης λειτουργίας USB” σε κλειδωμένες συσκευές.
Η Apple απευθύνθηκε στο ελάττωμα στο iOS 18.3.1, iPados 18.3.1 και 17.7.5, που κυκλοφόρησε στις 10 Φεβρουαρίου 2025.
Η δεύτερη ευπάθεια που αναφέρεται σε παλαιότερες εκδόσεις OS είναι το CVE-2025-24201, το οποίο επέτρεψε στους χάκερ να ξεφύγουν από το περιεχόμενο ιστού Sandbox στον κινητήρα Webkit χρησιμοποιώντας ειδικά κατασκευασμένο περιεχόμενο ιστού.
Η Apple προειδοποίησε ότι το ελάττωμα εκμεταλλεύτηκε σε “εξαιρετικά εξελιγμένες” επιθέσεις, καθορίζοντάς το στις 11 Μαρτίου 2025, με την απελευθέρωση του iOS 18.3.2, iPados 18.3.2, MacOS Sequoia 15.3.2, VisionOS 2.3.2 και Safari 18.3.1.
Ο πωλητής έχει ενσωματώσει τώρα διορθώσεις τόσο για το CVE-2025-24200 όσο και για το CVE-2025-24201 στο iOS 16.7.11 και 15.8.4 και εκδόσεις iPados 16.7.11 και 15.8.4.
Το τρίτο ελάττωμα που είναι σταθερό σε παλαιότερες συσκευές είναι το CVE-2025-24085, ένα πρόβλημα κλιμάκωσης προνομίων στο βασικό πλαίσιο των μέσων ενημέρωσης της Apple.
Η επιχείρηση καθόρισε το ζήτημα στα τέλη Ιανουαρίου 2025 με την απελευθέρωση του iOS 18.3, του iPados 18.3, του MacOS Sequoia 15.3, του WatchOS 11.3, του VisionOS 2.3 και του TVOS 18.3.
Τώρα, διορθώθηκαν διορθώσεις για το CVE-2025-24085 iPados 17.7.6και εκδόσεις MacOS 14.7.5 (Sonoma) και 13.7.5 (Ventura).
Νεότερες ενημερώσεις ασφαλείας
Εκτός από τα backports, η Apple κυκλοφόρησε επίσης ενημερώσεις ασφαλείας για τα τελευταία σταθερά υποκαταστήματα των λειτουργικών συστημάτων και του λογισμικού της όπως το Safari και το Xcode.
Συγκεκριμένα, η τελευταία ενημέρωση για iOS 18.4 και iPados 18.4 Διορθώσεις 77 ευπάθειας, συμπεριλαμβανομένης της CVE-2025-30456 (App Sandbox Bypass που επιτρέπει την κλιμάκωση του προνομίου ριζών), CVE-2025-24097 (πρόσβαση μεταδεδομένων αυθαίρετων αρχείων) και CVE-2025-31182 (αυθαίρετη διαγραφή αρχείου).
Επί MacOS Sequoia 15.4Η Apple απευθύνθηκε σε 123 τρωτά σημεία, συμπεριλαμβανομένης της CVE-2025-24228 (αυθαίρετη εκτέλεση κώδικα με προνόμια του πυρήνα), CVE-2025-24267 (κλιμάκωση προνομίων στη ρίζα) και CVE-2025-24178 (διαφυγή από sandbox).
Στο τελευταίο σαφάρι 18.4, η Apple απευθύνθηκε σε 13 ατέλειες, όπως το CVE-2025-24213 (διαφθορά μνήμης Webkit), το CVE-2025-30427 (Webkit Use-Free) και το CVE-2025-24180 (Webauthn Credential Confusion).
Ενώ δεν εκμεταλλεύτηκαν ενεργά ατέλειες μηδενικής ημέρας σε αυτά τα δελτία, οι χρήστες θα πρέπει να εφαρμόζουν τις ενημερώσεις το συντομότερο δυνατόν για να παραμείνουν προστατευμένοι από τις επιθέσεις.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
