CRITICAL🇬🇧 English

CVE-2025-43243

Nieprawidłowe uprawnienia w macOS umożliwiają modyfikację chronionych obszarów systemu plików

CVSS 9.8v3.1pub. 2025-07-30upd. 2026-04-02

Podatność w systemach Apple macOS wynika z niewystarczających ograniczeń uprawnień (CWE-732), co pozwala złośliwej aplikacji na modyfikację chronionych obszarów systemu plików. Krytyczny poziom CVSS 9.8 oznacza, że exploit nie wymaga uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

A permissions issue was addressed with additional restrictions. This issue is fixed in macOS Sequoia 15.6, macOS Sonoma 14.7.7, macOS Ventura 13.7.7. An app may be able to modify protected parts of the file system.

🤖 Analiza AI
Jak działa

Błąd polega na niewłaściwej konfiguracji uprawnień do zasobów systemowych, przez co aplikacja może uzyskać dostęp do zapisu w obszarach systemu plików, które powinny być chronione przed modyfikacją przez nieuprzywilejowany kod. Apple rozwiązał problem poprzez wprowadzenie dodatkowych restrykcji uprawnień. Wektor sieciowy (AV:N) przy braku wymagań co do uprawnień (PR:N) i interakcji użytkownika (UI:N) wskazuje na potencjalnie szeroką powierzchnię ataku.

Skutki

Atakujący może za pomocą złośliwej aplikacji modyfikować chronione fragmenty systemu plików macOS, co może prowadzić do naruszenia integralności systemu, eskalacji uprawnień lub trwałej infekcji urządzenia.

Mitygacja

Należy zaktualizować system do wersji macOS Sequoia 15.6, macOS Sonoma 14.7.7 lub macOS Ventura 13.7.7. Szczegóły dostępne w biuletynach Apple: https://support.apple.com/en-us/124149, https://support.apple.com/en-us/124150, https://support.apple.com/en-us/124151

Kogo dotyczy

Apple macOS Sequoia przed wersją 15.6, macOS Sonoma przed wersją 14.7.7, macOS Ventura przed wersją 13.7.7

Uwagi

Informacje o podatności zostały opublikowane również na liście Full Disclosure (seclists.org) w lipcu 2025 r.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apple macOS

    OS
    Apple
    < 13.7.714.0 – 14.7.7 (bez)15.0 – 15.6 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach

CVE-2025-31200CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple — memory corruption (RCE) w przetwarzaniu strumieni audio

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki

CVE-2025-43243 — Nieprawidłowe uprawnienia w macOS umożliwiają modyfikację chronionych obszarów systemu plików — CRITICAL 9.8 | CVEbaza.pl