Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Aggiornamenti di sicurezza Apple (AL01/250128/CSIRT-ITA)

Data:
27 Maggio 2025

Impatto Sistemico

Critico (76.66)

Sintesi

Apple ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulnerabilità presenti nei propri prodotti.

Note : un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2025-24085 risulta disponibile in rete.

Note : il vendor afferma che la CVE-2025-24085 risulterebbe essere attivamente sfruttata in rete.

Tipologia

  • Denial of Service
  • Elevation of Privilege
  • Remote Code Execution
  • Security Restriction Bypass
  • Information Disclosure
  • Spoofing
  • Data Manipulation

Prodotti e/o versioni affette

Apple

  • macOS Sequoia, versioni precedenti alla 15.3
  • macOS Sonoma, versioni precedenti alla 14.7.3
  • macOS Ventura, versioni precedenti alla 13.7.3
  • iOS, versioni precedenti alla 18.3
  • iPadOS, versioni precedenti alla 18.3
  • tvOS, versioni precedenti alla 18.3
  • visionOS, versioni precedenti alla 2.3
  • Safari, versioni precedenti alla 18.3
  • watchOS, versioni precedenti alla 11.3

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le patch seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.

Riferimenti

CVE

CVE-ID
CVE-2024-44172 CVE-2024-44243 CVE-2024-54478 CVE-2024-54497
CVE-2024-54509 CVE-2024-9956 CVE-2025-24085 CVE-2025-24086
CVE-2025-24087 CVE-2025-24092 CVE-2025-24093 CVE-2025-24094
CVE-2025-24096 CVE-2025-24100 CVE-2025-24101 CVE-2025-24102
CVE-2025-24103 CVE-2025-24104 CVE-2025-24106 CVE-2025-24107
CVE-2025-24108 CVE-2025-24109 CVE-2025-24112 CVE-2025-24113
CVE-2025-24114 CVE-2025-24115 CVE-2025-24116 CVE-2025-24117
CVE-2025-24118 CVE-2025-24120 CVE-2025-24121 CVE-2025-24122
CVE-2025-24123 CVE-2025-24124 CVE-2025-24126 CVE-2025-24127
CVE-2025-24128 CVE-2025-24129 CVE-2025-24130 CVE-2025-24131
CVE-2025-24134 CVE-2025-24135 CVE-2025-24136 CVE-2025-24137
CVE-2025-24138 CVE-2025-24139 CVE-2025-24140 CVE-2025-24141
CVE-2025-24143 CVE-2025-24145 CVE-2025-24146 CVE-2025-24149
CVE-2025-24150 CVE-2025-24151 CVE-2025-24152 CVE-2025-24153
CVE-2025-24154 CVE-2025-24156 CVE-2025-24158 CVE-2025-24159
CVE-2025-24160 CVE-2025-24161 CVE-2025-24162 CVE-2025-24163
CVE-2025-24166 CVE-2025-24169 CVE-2025-24174 CVE-2025-24176
CVE-2025-24177 CVE-2025-24179

Change log

Versione Note Data
1.0 Pubblicato il 28-01-2025 28/01/2025
1.1 Aggiunta nota exploitation ITW della CVE-2025-24085 alla sezione “Sintesi” Ricalcolato impatto sistemico 28/01/2025
1.2 Aggiunta nota alla sezione “Sintesi” per rilevamento PoC relativo alla CVE-2025-24085 28/02/2025
1.3 Aggiunto riferimento alla CVE-2025-24179 27/05/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

27 Maggio 2025, 14:30