CVE-2025-31200: Apple patcher to aktivt udnyttede nul-dage

Apple har udrullet kritiske sikkerhedsopdateringer på tværs af sit økosystem, Herunder iOS, iPadOS, macOS Sequoia, tvOS, og visionOS, for at tage fat på to nyopdagede nul-dages sårbarheder som i øjeblikket bliver udnyttet i virkelige angreb.

To aktivt udnyttede Zero-Day-fejl rettet

Den seneste opdatering retter to specifikke sårbarheder, som begge udgør en alvorlig trussel mod enhedssikkerhed og brugerdata:

• CVE-2025-31200 (CVSS-score: 7.5) – Et problem med hukommelseskorruption inden for Core Audio-rammerne. Hvis det udnyttes via en ondsindet udformet mediefil, denne fejl kan gøre det muligt for angribere at udføre vilkårlig kode under behandling af lydstream.
• CVE-2025-31201 (CVSS-score: 6.8) – Et sikkerhedshul i RPAC-komponenten. Det kan tillade angribere med vilkårlig læse-/skriveadgang at omgå Apples pointer-godkendelsesbeskyttelse.

Apple har været hurtige til at reagere for at løse disse problemer. Den første fejl blev afhjulpet gennem forbedret grænsekontrol, mens den anden sårbarhed blev løst ved at fjerne den problematiske sektion af kode helt.

Apple og Google går sammen om Discovery

Interessant, Apple var ikke alene om at afsløre disse trusler. CVE-2025-31200-sårbarheden blev i fællesskab rapporteret af Apples interne sikkerhedsteam og Googles Threat Analysis Group (TAG), fremvisning af en samarbejdende industriindsats for at bremse sofistikerede cyberangreb.

I sin officielle rådgivning, Apple bekræftede, at disse udnyttelser blev brugt i “ekstremt sofistikeret” angreb rettet mod bestemte personer, understreger vigtigheden af at holde sig opdateret med sikkerhedsopdateringer.

Fem Zero-Days udnyttet 2025 Så langt

Med inklusion af disse seneste sårbarheder, Apple har nu patchet i alt fem zero-day exploits i 2025. Nedenfor er en opsummering af tidligere behandlede sårbarheder:

• CVE-2025-24085 (CVSS-score: 7.8) – En brug-efter-fri sårbarhed i Core Media, gør det muligt for ondsindede applikationer at eskalere privilegier på berørte enheder.
• CVE-2025-24200 (CVSS-score: 4.6) – En godkendelsesfejl i tilgængelighedskomponenten, der kunne deaktivere USB-begrænset tilstand gennem et fysisk angreb.
• CVE-2025-24201 (CVSS-score: 7.1) – En out-of-bounds skrivefejl ind WebKit, giver angribere mulighed for at undslippe webindholdssandkassen ved hjælp af ondsindet webindhold.

Disse nul-dages fejl eksemplificerer, hvordan cyberangribere i stigende grad retter sig mod sårbarheder af høj værdi for at kompromittere Apples sikre platforme.

Hvem skal opdatere?

Apples seneste sikkerhedsopdateringer er tilgængelige til en lang række enheder. Brugere opfordres kraftigt til at opdatere med det samme for at beskytte sig mod potentiel udnyttelse. Her er en oversigt over understøttede platforme og enheder:

iOS og iPadOS 18.4.1

– iPhone XS og nyere
– iPad Pro 13 tommer
– iPad Pro 13,9 tommer (3rd generation og senere)
– iPad Pro 11 tommer (1st generation og senere)
– iPad Air (3rd generation og senere)
– iPad (7generation og senere)
– iPad mini (5generation og senere)

macOS Sequoia 15.4.1

– Alle Mac'er er kompatible med macOS Sequoia

tvOS 18.4.1

– Apple TV HD
– Alle modeller af Apple TV 4K

visionOS 2.4.1

– Apple Vision Pro

Hvorfor du bør opdatere nu

I betragtning af at sårbarhederne aktivt bliver udnyttet, denne opdatering er ikke kun rutine, det er kritisk. Brugere, der undlader at opdatere deres systemer, kan forblive sårbare over for fjernkørsel af programkode, privilegium eskalering, og omgået sikkerhedsmekanismer.

At holde dine enheder opdateret er en af de enkleste, men mest kraftfulde måder at forsvare sig mod sådanne angreb.

Sådan opdateres

For at sikre, at din enhed er beskyttet:

1. Gå til Indstillinger
2. Tap Generel
3. Vælg Software opdatering
4. Download og installer den seneste tilgængelige version