Várias vulnerabilidades em produtos Apple podem permitir a execução arbitrária de código

Por


NÚMERO DO AVISO MS-ISAC:

2025-069

DATA(S) DE EMISSÃO:

07/30/2025

VISÃO GERAL:

Várias vulnerabilidades foram descobertas em produtos da Apple, a mais grave das quais pode permitir a execução arbitrária de código. A exploração bem-sucedida da mais grave dessas vulnerabilidades pode permitir a execução de código arbitrário no contexto do usuário conectado. Dependendo dos privilégios associados ao usuário, um invasor pode instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que aqueles que operam com direitos de usuário administrativos.

INTELIGÊNCIA DE AMEAÇAS:

Atualmente, não há relatos dessas vulnerabilidades sendo exploradas na natureza.

SISTEMAS AFETADOS:

  • Versões anteriores ao iOS 18.6 e iPadOS 18.6
  • Versões anteriores ao iPadOS 17.7.9
  • Versões anteriores ao macOS Sequoia 15.6
  • Versões anteriores ao macOS Sonoma 14.7.7
  • Versões anteriores ao macOS Ventura 13.7.7
  • Versões anteriores ao watchOS 11.6
  • Versões anteriores ao tvOS 18.6
  • Versões anteriores ao visionOS 2.6

RISCO:

Governo:

Grandes e médias entidades governamentaisALTO

Governo pequenoMÉDIA

Empresas:

Entidades de grandes e médias empresasALTO

Entidades de pequenas empresasMÉDIA

RESUMO TÉCNICO:

Várias vulnerabilidades foram descobertas em produtos da Apple, a mais grave das quais pode permitir a execução arbitrária de código. Os detalhes das vulnerabilidades são os seguintes:

Tática:Execução (TA0002):

Técnica: Exploração para execução do cliente (T1203):

  • A execução de um comando hdiutil pode executar inesperadamente um código arbitrário. (CVE-2025-43187)
  • Um aplicativo pode executar código arbitrário fora de sua área restrita ou com determinados privilégios elevados. (CVE-2025-24119)

Vulnerabilidades adicionais de menor gravidade incluem:

  • O código pode ser lido em voz alta pelo VoiceOver. (CVE-2025-31229)
  • Os indicadores de privacidade para acesso ao microfone ou à câmera podem não ser exibidos corretamente. (CVE-2025-43217)
  • A análise de um arquivo pode levar ao encerramento inesperado do aplicativo. (CVE-2025-43186)
  • Um usuário sem privilégios pode modificar as configurações de rede restritas. (CVE-2025-43223)
  • O processamento de um arquivo de áudio criado com códigos maliciosos pode levar à corrupção da memória. (CVE-2025-43277)
  • O processamento de um arquivo de mídia criado com códigos maliciosos pode levar ao encerramento inesperado do aplicativo ou à corrupção da memória do processo. (CVE-2025-43210, CVE-2025-43224, CVE-2025-43221)
  • Um aplicativo pode acessar dados confidenciais do usuário. (CVE-2025-43230)
  • O processamento de conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada do Safari. (CVE-2025-43209, CVE-2025-43214, CVE-2025-43213, CVE-2025-43212, CVE-2025-43216, CVE-2025-6558, CVE-2025-24188)
  • O processamento de uma imagem criada com códigos maliciosos pode resultar na divulgação da memória do processo. (CVE-2025-43226, CVE-2025-43215)
  • O processamento de um arquivo pode levar à corrupção da memória. (CVE-2025-43202, CVE-2025-7425)
  • O processamento de conteúdo da Web criado com códigos maliciosos pode levar à corrupção da memória. (CVE-2025-7424, CVE-2025-31278, CVE-2025-31277, CVE-2025-31273)
  • O conteúdo remoto pode ser carregado mesmo quando a configuração “Carregar imagens remotas” está desativada. (CVE-2025-31276)
  • O processamento de uma textura criada com códigos maliciosos pode levar ao encerramento inesperado do aplicativo. (CVE-2025-43234)
  • O processamento de um arquivo criado com códigos maliciosos pode levar ao encerramento inesperado do aplicativo. (CVE-2025-31281, CVE-2025-43254, CVE-2025-43239)
  • Visitar um site malicioso pode levar à falsificação da barra de endereços. (CVE-2025-43228)
  • O processamento de conteúdo da web criado com códigos maliciosos pode divulgar informações confidenciais do usuário. (CVE-2025-43227)
  • O processamento de conteúdo da web pode levar a uma negação de serviço. (CVE-2025-43211)
  • O processamento de conteúdo da Web criado com códigos maliciosos pode revelar estados internos do aplicativo. (CVE-2025-43265)
  • Um invasor pode causar o encerramento inesperado do aplicativo. (CVE-2025-43222, CVE-2025-43236)
  • Um aplicativo pode acessar dados protegidos do usuário. (CVE-2025-43220, CVE-2025-43245, CVE-2025-43198, CVE-2025-43206, CVE-2025-43185)
  • Um aplicativo pode ser capaz de identificar o usuário. (CVE-2025-31279)
  • Um atacante remotor pode causar o encerramento inesperado do sistema. (CVE-2025-24224)
  • Um aplicativo pode acessar dados confidenciais do usuário. (CVE-2025-43225, CVE-2025-43195, CVE-2025-43267, CVE-2025-43197, CVE-2025-43246)
  • Um aplicativo pode ser capaz de ler um identificador de dispositivo persistente. (CVE-2025-24220)
  • Um aplicativo pode causar uma negação de serviço. (CVE-2025-43191, CVE-2025-43235, CVE-2025-43193)
  • Um aplicativo pode causar o encerramento inesperado do sistema. (CVE-2025-43244, CVE-2025-43255, CVE-2025-43237, CVE-2025-43238)
  • Um aplicativo pode obter privilégios de root. (CVE-2025-31243, CVE-2025-43249, CVE-2025-43196, CVE-2025-43256)
  • Um aplicativo malicioso pode ser capaz de iniciar binários arbitrários em um dispositivo confiável. (CVE-2025-43253)
  • Um aplicativo malicioso pode obter privilégios de root. (CVE-2025-43248, CVE-2025-43199, CVE-2025-43188, CVE-2025-43268)
  • Um aplicativo pode sair de sua sandbox. (CVE-2025-43257, CVE-2025-43261, CVE-2025-43275, CVE-2025-43266, CVE-2025-43250)
  • Um processo em área restrita pode ser capaz de contornar as restrições da área restrita. (CVE-2025-43273, CVE-2025-43274)
  • A Retransmissão Privada do iCloud pode não ser ativada quando mais de um usuário estiver conectado ao mesmo tempo. (CVE-2025-43276)
  • A inscrição de usuário controlada por conta ainda pode ser possível com o Modo de bloqueio ativado. (CVE-2025-43192)
  • Um processo em área restrita pode ser capaz de iniciar qualquer aplicativo instalado. (CVE-2025-31275)
  • O processamento de uma imagem criada com códigos maliciosos pode corromper a memória do processo. (CVE-2025-43264, CVE-2025-43219)
  • O processamento de um arquivo criado com códigos maliciosos pode levar à corrupção do heap. (CVE-2025-31280)
  • O processamento de um arquivo USD criado com códigos maliciosos pode revelar o conteúdo da memória. (CVE-2025-43218)
  • Um aplicativo pode obter acesso não autorizado à rede local. (CVE-2025-43270)
  • Um aplicativo pode sequestrar direitos concedidos a outros aplicativos privilegiados. (CVE-2025-43260)
  • Um aplicativo malicioso com privilégios de root pode modificar o conteúdo dos arquivos do sistema. (CVE-2025-43247)
  • Um aplicativo pode modificar partes protegidas do sistema de arquivos. (CVE-2025-43194, CVE-2025-43243)
  • Um aplicativo pode ignorar certas preferências de privacidade. (CVE-2025-43232)
  • Um aplicativo pode ler arquivos fora de sua área restrita. (CVE-2025-43241)
  • Um aplicativo malicioso que atua como um proxy HTTPS pode obter acesso a dados confidenciais do usuário. (CVE-2025-43233)
  • Um invasor local pode obter acesso a itens das Chaves. (CVE-2025-43251)
  • Um aplicativo malicioso pode ser capaz de ler a memória do kernel. (CVE-2025-43189)
  • O processamento de conteúdo da Web criado com códigos maliciosos pode levar a scripts universais entre sites. (CVE-2025-43229)
  • A origem de um download pode estar associada incorretamente. (CVE-2025-43240)
  • Um invasor com acesso físico a um dispositivo bloqueado pode exibir informações confidenciais do usuário. (CVE-2025-43259)
  • Um site pode acessar dados confidenciais do usuário ao resolver links simbólicos. (CVE-2025-43252)
  • Um atalho pode ignorar as configurações confidenciais do app Atalhos. (CVE-2025-43184)

A exploração bem-sucedida da mais grave dessas vulnerabilidades pode permitir a execução de código arbitrário no contexto do usuário conectado. Dependendo dos privilégios associados ao usuário, um invasor pode instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que aqueles que operam com direitos de usuário administrativos.

RECOMENDAÇÕES:

Recomendamos que as seguintes ações sejam tomadas:

  • Aplique a atualização de canal estável fornecida pela Apple a sistemas vulneráveis imediatamente após o teste apropriado. (M1051: Atualizar software)
  • Salvaguarda 7.1 : Estabelecer e manter um processo de gerenciamento de vulnerabilidades: Estabeleça e mantenha um processo documentado de gerenciamento de vulnerabilidades para ativos corporativos. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta Salvaguarda.
  • Salvaguarda 7.2 : Estabelecer e manter um processo de correção: Estabeleça e mantenha uma estratégia de correção baseada em risco documentada em um processo de correção, com revisões mensais ou mais frequentes.
  • Salvaguarda 7.6: Executar verificações automatizadas de vulnerabilidade de ativos corporativos expostos externamente: Execute verificações automatizadas de vulnerabilidades de ativos corporativos expostos externamente usando uma ferramenta de verificação de vulnerabilidades compatível com SCAP. Realize varreduras mensalmente ou com mais frequência.
  • Salvaguarda 7.7 : Corrigir vulnerabilidades detectadas: ReMediar vulnerabilidades detectadas no software por meio de processos e ferramentas mensalmente, ou com mais frequência, com base no processo de correção.
  • Salvaguarda 16.13 Realizar Teste de Penetração de Aplicativos: Realize testes de penetração de aplicativos. Para aplicativos críticos, o teste de penetração autenticado é mais adequado para encontrar vulnerabilidades de lógica de negócios do que a verificação de código e o teste de segurança automatizado. O teste de penetração depende da habilidade do testador de manipular manualmente um aplicativo como um usuário autenticado e não autenticado.
  • Salvaguarda 18.1: Estabelecer e manter um programa de teste de penetração: Estabelecer e manter um programa de teste de penetração apropriado ao tamanho, complexidade e maturidade da empresa. As características do programa de teste de penetração incluem escopo, como rede, aplicativo Web, Interface de Programação de Aplicativos (API), serviços hospedados e controles de instalações físicas; frequência; limitações, como horas aceitáveis e tipos de ataque excluídos; informações de ponto de contato; correção, como a forma como as descobertas serão roteadas internamente; e requisitos retrospectivos.
  • Salvaguarda 18.2 : Realizar testes periódicos de penetração externa: Realize testes periódicos de penetração externa com base nos requisitos do programa, pelo menos anualmente. O teste de penetração externa deve incluir reconhecimento corporativo e ambiental para detectar informações exploráveis. O teste de penetração requer habilidades e experiência especializadas e deve ser conduzido por uma parte qualificada. O teste pode ser uma caixa transparente ou uma caixa opaca.
  • Salvaguarda 18.3 : Remediar resultados do teste de penetração: Corrija as descobertas do teste de penetração com base na política da empresa para escopo e priorização de correção.
  • Aplique o Princípio do Menor Privilégio a todos os sistemas e serviços. Execute todos os softwares como um usuário sem privilégios (sem privilégios administrativos) para diminuir os efeitos de um ataque bem-sucedido. (M1026: Gerenciamento de contas privilegiadas)
  • Salvaguarda 4.7: Gerenciar contas padrão em ativos e software corporativos:Gerencie contas padrão em ativos e software corporativos, como raiz, administrador e outras contas de fornecedores pré-configuradas. Exemplos de implementações podem incluir: desabilitar contas padrão ou torná-las inutilizáveis.
  • Salvaguarda 5.4: Restringir privilégios de administrador a contas de administrador dedicadas:Restrinja os privilégios de administrador a contas de administrador dedicadas em ativos corporativos. Realize atividades gerais de computação, como navegação na Internet, e-mail e uso do pacote de produtividade, a partir da conta principal e sem privilégios do usuário.
  • Restringir o uso de determinados sites, bloquear downloads/anexos, bloquear Javascript, restringir extensões de navegador, etc. (M1021: Restringir conteúdo baseado na Web)
  • Salvaguarda 2.3: Tratar de Software Não Autorizado: Certifique-se de que o software não autorizado seja removido do uso em ativos corporativos ou receba uma exceção documentada. Revise mensalmente ou com mais frequência.
  • Salvaguarda 2.7: Lista de permissões de scripts autorizados: Use controles técnicos, como assinaturas digitais e controle de versão, para garantir que apenas scripts autorizados, como arquivos .ps1, .py etc. específicos, tenham permissão para serem executados. Bloqueie a execução de scripts não autorizados. Reavalie semestralmente, ou com mais frequência.
  • Salvaguarda 9.3: Manter e aplicar filtros de URL baseados em rede: Aplique e atualize filtros de URL baseados em rede para limitar a conexão de um ativo corporativo a sites potencialmente mal-intencionados ou não aprovados. Exemplos de implementações incluem filtragem baseada em categoria, filtragem baseada em reputação ou por meio do uso de listas de bloqueio. Aplique filtros para todos os ativos corporativos.
  • Salvaguarda 9.6: Bloquear tipos de arquivos desnecessários: Bloqueie tipos de arquivos desnecessários que tentam entrar no gateway de e-mail da empresa.
  • Use recursos para detectar e bloquear condições que possam levar ou ser indicativas da ocorrência de uma exploração de software. (M1050: Proteção contra exploração)
  • Salvaguarda 10.5: Ativar recursos anti-exploração: Habilite recursos antiexploração em ativos e software corporativos, sempre que possível, como® Microsoft Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG) ou Apple® System Integrity Protection (SIP) e Gatekeeper™.
  • Bloqueie a execução de código em um sistema por meio de controle de aplicativos e/ou bloqueio de script. (M1038: Prevenção de execução)
  • Salvaguarda 2.5 : Autori da lista de permissõeszed Software: Use controles técnicos, como a lista de permissões de aplicativos, para garantir que apenas software autorizado possa ser executado ou acessado. Reavalie semestralmente ou com mais frequência.
  • Salvaguarda 2.6 : Lista de permissões de bibliotecas autorizadas: Use controles técnicos para garantir que apenas bibliotecas de software autorizadas, como arquivos específicos .dll, .ocx, .so etc., tenham permissão para carregar em um processo do sistema. Bloqueie o carregamento de bibliotecas não autorizadas em um processo do sistema. Reavalie semestralmente ou com mais frequência.
  • Salvaguarda 2.7 : Lista de permissões de scripts autorizados: Use controles técnicos, como assinaturas digitais e controle de versão, para garantir que apenas scripts autorizados, como arquivos .ps1, .py etc. específicos, tenham permissão para serem executados. Bloqueie a execução de scripts não autorizados. Reavalie semestralmente ou com mais frequência.
  • Use recursos para evitar que padrões de comportamento suspeitos ocorram em sistemas de endpoint. Isso pode incluir comportamento suspeito de processo, arquivo, chamada de API etc. (M1040: Prevenção de comportamento no endpoint)
  • Salvaguarda 13.2 : Implantar uma solução de detecção de intrusão baseada em host: Implante uma solução de detecção de intrusão baseada em host em ativos corporativos, quando apropriado e/ou com suporte.
  • Salvaguarda 13.7: Implantar uma solução de prevenção de intrusão baseada em host: Implante uma solução de prevenção de intrusão baseada em host em ativos corporativos, quando apropriado e/ou com suporte. Exemplos de implementações incluem o uso de um cliente EDR (Detecção e Resposta de Ponto de Extremidade) ou agente IPS baseado em host.

Datalake – Azaeo:

TXT | JSON | JSONLD | XML | HTML | PDF