WebKit-en 0-day ahultasunak Apple produktuei eragiten diete

Argitalpen-data: 

Laburpen exekutiboa

WebKit-en 0-day ahultasunak identifikatu dira, Apple-ren hainbat produkturi eragiten dietenak, besteak beste: iPhone, iPad, macOS, Apple TV, Apple Watch, Apple Vision Pro eta Safari. Ahultasun hauek, gaur egun CVE datu-basean erreserbatuta daudenak, kode arbitrarioa exekutatzea eta memoria-korruptzioa ahalbidetzen dute web edukia gaizki diseinatua prozesatzean. Applek baieztatu du aurreko iOS 26 bertsioetan pertsona jakin batzuen aurkako eraso oso sofistikatuetan ustiatuak izan daitezkeela. Lotutako identifikatzaileak CVE-2025-14174 eta CVE-2025-43529 dira, eta memoria-kudeaketa eta balidazio hobekuntzen bidez arindu dira.

Eragindako baliabideak

  • iPhone 11 eta ondorengoak
  • iPad Pro 12.9-inch 3. generazioa eta ondorengoak
  • iPad Pro 11-inch 1. generazioa eta ondorengoak
  • iPad Air 3. generazioa eta ondorengoak
  • iPad 8. generazioa eta ondorengoak
  • iPad mini 5. generazioa eta ondorengoak
  • macOS Tahoe
  • iPhone XS eta ondorengoak
  • iPad Pro 13-inch
  • iPad 7. generazioa eta ondorengoak
  • Apple TV HD eta Apple TV 4K (modelo guztiak)
  • Apple Watch Series 6 eta ondorengoak
  • Apple Vision Pro (modelo guztiak)
  • Safari macOS Sonoma eta macOS Sequoia-rako

Azterketa teknikoa

  • CVE-2025-14174: Google Chrome-rako Mac-en ANGLE-n muga gainditzen duen memoria eskuratzeko ahultasun bat, 143.0.7499.110 bertsioa baino lehen, urruneko erasotzaile batek HTML orri gaizto baten bidez memoria ez baimendutako moduan eskuratzeko aukera ematen du. Arazo honek segurtasunean eragin handia izan dezake, kode arbitrarioa exekutatzeko erabil daitekeelako. Esplotazioa egiteko baldintza gehigarririk ez da zehazten.
    • CWE-119
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Esplotazioa: Detektatua
  • CVE-2025-43529 : Ahultasun bat identifikatu da eta CVE identifikatzaile bat esleitu zaio. Hala ere, ez da NVD datu-basean agertzen, une honetan RESERVED egoeran dagoelako. Horrek esan nahi du, nahiz eta CVEa CVE erakundeak edo CNA batek (CVE Numbering Authority) esleitu duen, oraindik ez direla xehetasun teknikoak ezta informazio osagarria argitaratu. RESERVED egoerak adierazten du identifikatzailea etorkizunean erabiltzeko blokeatuta dagoela, baina deskribapen ofiziala oraindik ez dela publiko egin.
    • CWE: N/A
    • CVSS: N/A
    • CVSS bektorea: N/A
    • Esplotazioa: Detektatua

Arintzea/Konponbidea

WebKit-en deskribatutako segurtasun arazoak arintzeko edo konpontzeko, gomendatzen da iOS, macOS eta Safari-ren azken bertsioetara eguneratzea. Zehazki, CVE identifikatuak: CVE-2025-14174 eta CVE-2025-43529, kode arbitrarioaren exekuzio eta memoria usteldu arazoak konpontzen dituzten eguneratzeak aplikatu behar dira.

Erreferentzia gehigarriak

Partekatu