Apple ponownie udowadnia, że traktuje bezpieczeństwo swoich użytkowników priorytetowo, reagując na pierwszą w 2025 roku lukę zero-day. Problem, oznaczony jako CVE-2025-24085, dotyczył podatności na eskalację uprawnień w ramach komponentu systemowego – Core Media. Firma opublikowała aktualizacje, które eliminują zagrożenie, zapewniając ochronę milionom użytkowników korzystających z szerokiej gamy urządzeń, od iPhone’ów po zegarki Apple Watch.
Co wiemy o luce CVE-2025-24085?
Core Media, krytyczny element infrastruktury multimedialnej Apple, odpowiedzialny za obsługę plików audio i wideo na platformach firmy, okazał się słabym punktem systemu. Jak wynika z informacji Apple, luka umożliwiała potencjalnie złośliwym aplikacjom uzyskanie wyższych uprawnień, co mogło prowadzić do przejęcia kontroli nad urządzeniem. Co istotne, problem dotyczył zarówno starszych, jak i najnowszych wersji systemów operacyjnych Apple, takich jak iOS, iPadOS, macOS, watchOS, tvOS i visionOS.
Apple potwierdziło, że problem był wykorzystywany, choć dotychczasowe informacje sugerują, że ataki miały charakter ukierunkowany. Mimo to firma zdecydowanie zachęca użytkowników do zainstalowania najnowszych aktualizacji, by uniemożliwić dalsze próby wykorzystania tej luki.
Szeroki zakres urządzeń objętych aktualizacją
Aktualizacja zabezpieczeń została wdrożona w systemach iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 oraz tvOS 18.3. Wśród urządzeń, które zyskały ochronę, znajdują się zarówno flagowe modele, jak i starsze generacje, w tym:
iPhone XS i nowsze,
iPad Pro (od 11 cali 1. generacji i 12,9 cali 3. generacji), iPad Air (3. generacji i nowsze), oraz iPad mini (od 5. generacji),
komputery z systemem macOS Sequoia,
zegarki Apple Watch od serii 6,
Apple TV HD i 4K (wszystkie modele).
Zakres urządzeń objętych luką podkreśla jej potencjalną skalę. W odpowiedzi Apple wprowadziło ulepszone zarządzanie pamięcią, co skutecznie rozwiązuje problem.
Odpowiedź Apple i wcześniejsze incydenty zero-day
Apple konsekwentnie poprawia bezpieczeństwo swoich systemów. W zeszłym roku firma naprawiła sześć luk zero-day, a w 2023 aż dwadzieścia. Najnowsze ataki obejmowały między innymi podatności w WebKit oraz inne krytyczne błędy, które mogły zagrażać użytkownikom na całym świecie. Tak szybka reakcja na tegoroczną lukę potwierdza gotowość firmy do minimalizowania ryzyka dla klientów.
Mimo że szczegóły dotyczące ataków wykorzystujących CVE-2025-24085 nie zostały jeszcze ujawnione, Apple przypomina o konieczności regularnych aktualizacji oprogramowania. Dzięki temu użytkownicy mogą chronić swoje urządzenia przed nieprzewidzianymi zagrożeniami.
