2025-3494: Apple iOS, Apple iPadOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-12-15 14:42)

Neues Advisory

Version 2 (2025-12-16 07:46)

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2025-43529 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller weist darauf hin, dass die Schwachstellen CVE-2025-14174 und CVE-2025-43529 bereits in komplexen Angriffen gezielt gegen einzelne Personen ausgenutzt wurden.

Apple adressiert die Schwachstellen mit dem Sicherheitsupdate 18.7.3 für iOS und iPadOS.

Schwachstellen:

CVE-2024-7264

Schwachstelle in curl und libcurl ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-14174

Schwachstelle in ANGLE und WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-43501

Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

CVE-2025-43512

Schwachstelle in Kernel ermöglicht Privilegieneskalation

CVE-2025-43529

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-43530

Schwachstelle in Settings ermöglicht u. a. Manipulation von Dateien

CVE-2025-43531

Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

CVE-2025-43532

Schwachstelle in Foundation ermöglicht Denial-of-Service-Angriff

CVE-2025-43535

Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

CVE-2025-43536

Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

CVE-2025-43538

Schwachstelle in Screen Time ermöglicht Ausspähen von Informationen

CVE-2025-43539

Schwachstelle in AppleJPEG ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-43541

Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

CVE-2025-43542

Schwachstelle in FaceTime ermöglicht Ausspähen von Informationen

CVE-2025-46276

Schwachstelle in Messages ermöglicht Ausspähen von Informationen

CVE-2025-46279

Schwachstelle in Icons ermöglicht Ausspähen von Informationen

CVE-2025-46285

Schwachstelle in Kernel ermöglicht Erlangen von 'root'-Privilegien

CVE-2025-46287

Schwachstelle in Call History ermöglicht Darstellen falscher Informationen

CVE-2025-46292

Schwachstelle in Telephony ermöglicht u. a. Manipulation von Dateien

CVE-2025-5918

Schwachstelle in libarchive ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-9086

Schwachstelle in curl und libcurl ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.