Iphone Os
Уязвимости
4458
Эксплуатируемые
97
Макс. CVSS
10
Макс. EPSS
0.9986
Распределение по критичности
Критический
338
Высокий
1790
Средний
2012
Низкий
318
Затронутые диапазоны версий
1.0.0–2.2.11.0.0–3.012.0–12.5.515.0–15.415.0–15.715.0–15.7.215.0–15.7.415.0–15.7.615.0–15.7.815.8–15.8.416.0–16.216.0–16.416.0–16.516.0–16.616.0–16.7.517.0–17.0.317.0–17.117.0–17.217.0–17.317.0–17.418.0–18.118.0–18.22.0.0–2.0.22.0–4.0
Также сопоставлено как (исходные строки): safari,ipados,air_sdk_&_compiler,macos,chrome,firefox,iphone_os,tvos,air_sdk,watchos,visionos,mac_os_x
Топ уязвимостей
CVE-2025-43300Обнаружена уязвимость записи за пределами допустимого диапазона, устраненная путем улучшения проверки границ. Проблема исправлена в iOS 15.8.5 и iPadOS 15.8.5, iOS 16.7.12 и iPadOS 16.7.12. Обработка вредоносного файла изображения может привести к повреждению памяти. Apple известно о сообщении о том, что эта проблема могла быть использована в крайне сложной атаке на конкретных целевых пользователей [1].
Источники:
- [1] https://support.apple.com/en-us/125142
- [2] https://support.apple.com/en-us/125141
CVE-2025-24201Проблема записи за пределами пределов была решена с помощью улучшенных проверок для предотвращения несанкционированных действий. Эта проблема исправлена в visionOS 2.3.2, iOS 18.3.2 и iPadOS 18.3.2, macOS Sequoia 15.3.2, Safari 18.3.1. Зловредно созданный веб-контент может вырваться из песочницы веб-контента. Это дополнительное исправление для атаки, которая была заблокирована в iOS 17.2. (Apple известно о сообщении о том, что эта проблема могла быть использована в крайне сложной атаке против конкретных целевых лиц на версиях iOS до iOS 17.2.).
CVE-2025-24085Проблема 'использование после освобождения' была решена с помощью улучшенного управления памятью. Эта проблема исправлена в visionOS 2.3, iOS 18.3 и iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, tvOS 18.3. Злоумышленное приложение может иметь возможность повысить свои привилегии. Apple осведомлена о том, что существует отчет о том, что эта проблема могла быть активно эксплуатирована против версий iOS до iOS 17.2.
CVE-2022-32845Эта проблема была решена путем улучшения проверок. Эта проблема устранена в watchOS 8.7, iOS 15.6 и iPadOS 15.6, macOS Monterey 12.5. Приложение может выйти из своей песочницы.
CVE-2019-8779Проблема с логикой применяла неверные ограничения. Проблема была решена путем обновления логики для применения правильных ограничений. Проблема устранена в iOS 13.1.1 и iPadOS 13.1.1. Расширения сторонних приложений могут не получать правильные ограничения песочницы.
CVE-2019-6235Проблема повреждения памяти была решена путем улучшения проверки. Эта проблема устранена в iOS 12.1.3, macOS Mojave 10.14.3, tvOS 12.1.2, watchOS 5.1.3, iTunes 12.9.3 для Windows. Процесс в песочнице может обойти ограничения песочницы.
CVE-2018-4310Проблема с доступом была устранена путем добавления ограничений песочницы. Эта проблема затрагивала версии до iOS 12, macOS Mojave 10.14.
CVE-2015-8659Обработка простоя потока в nghttp2 до версии 1.6.0 позволяет злоумышленникам оказывать неопределенное воздействие через неизвестные векторы, также известная как ошибка heap-use-after-free.
CVE-2015-8459Adobe Flash Player версий до 18.0.0.324 и 19.x и 20.x до 20.0.0.267 в Windows и OS X и до 11.2.202.559 в Linux, Adobe AIR до 20.0.0.233, Adobe AIR SDK до 20.0.0.233 и Adobe AIR SDK & Compiler до 20.0.0.233 позволяют злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение памяти) через неуказанные векторы, что является иной уязвимостью, чем CVE-2015-8460, CVE-2015-8636 и CVE-2015-8645.
CVE-2015-7113Компонент LaunchServices в Apple iOS до версии 9.2 и watchOS до версии 2.1 позволяет злоумышленникам выполнять произвольный код в привилегированном контексте или вызывать отказ в обслуживании (повреждение памяти) через некорректно сформированный plist.
CVE-2015-6988Ядро в Apple iOS до версии 9.1 и OS X до версии 10.11.1 не инициализирует неуказанную структуру данных, что позволяет удаленным злоумышленникам выполнять произвольный код через векторы, включающие неизвестное требование к сетевому подключению.
CVE-2015-5903Ядро в Apple iOS до версии 9 позволяет локальным пользователям получать привилегии или вызывать отказ в обслуживании (повреждение памяти) через неуказанные векторы, что является другой уязвимостью, чем CVE-2015-5868 и CVE-2015-5896.
CVE-2015-5895Множественные неуказанные уязвимости в SQLite до версии 3.8.10.2, используемые в Apple iOS до версии 9, имеют неизвестное воздействие и векторы атак.
CVE-2014-4495Ядро в Apple iOS до версии 8.1.3, Apple OS X до версии 10.10.2 и Apple TV до версии 7.0.3 не обеспечивает соблюдение атрибута «только для чтения» сегмента общей памяти во время использования пользовательского режима кэширования, что позволяет злоумышленникам обходить предполагаемые ограничения доступа через специально созданное приложение.
CVE-2014-4489IOHIDFamily в Apple iOS до версии 8.1.3, Apple OS X до версии 10.10.2 и Apple TV до версии 7.0.3 неправильно инициализирует очереди событий, что позволяет злоумышленникам выполнить произвольный код в привилегированном контексте или вызвать отказ в обслуживании (разрешение нулевого указателя) через специально созданное приложение.
CVE-2014-4488IOHIDFamily в Apple iOS до версии 8.1.3, Apple OS X до версии 10.10.2 и Apple TV до версии 7.0.3 неправильно проверяет метаданные очереди ресурсов, что позволяет злоумышленникам выполнить произвольный код в привилегированном контексте через специально созданное приложение.
CVE-2014-4487Переполнение буфера в IOHIDFamily в Apple iOS до версии 8.1.3, Apple OS X до версии 10.10.2 и Apple TV до версии 7.0.3 позволяет злоумышленникам выполнить произвольный код в привилегированном контексте через специально созданное приложение.
CVE-2014-4486IOAcceleratorFamily в Apple iOS до версии 8.1.3, Apple OS X до версии 10.10.2 и Apple TV до версии 7.0.3 неправильно обрабатывает списки ресурсов и типы пользовательских клиентов IOService, что позволяет злоумышленникам выполнить произвольный код или вызвать отказ в обслуживании (разрешение нулевого указателя) через специально созданное приложение.
CVE-2014-4480Уязвимость обхода каталога в afc в AppleFileConduit в Apple iOS до версии 8.1.3 и Apple TV до версии 7.0.3 позволяет злоумышленникам получать доступ к непредназначенным расположениям файловой системы, создавая символическую ссылку.
CVE-2014-1359Целочисленное антипереполнение в launchd в Apple iOS до версии 7.1.2, Apple OS X до версии 10.9.4 и Apple TV до версии 6.1.2 позволяет злоумышленникам выполнять произвольный код через специально созданное приложение.
CVE-2014-1358Целочисленное переполнение в launchd в Apple iOS до версии 7.1.2, Apple OS X до версии 10.9.4 и Apple TV до версии 6.1.2 позволяет злоумышленникам выполнять произвольный код через специально созданное приложение.
CVE-2014-1357Переполнение буфера на основе кучи в launchd в Apple iOS до версии 7.1.2, Apple OS X до версии 10.9.4 и Apple TV до версии 6.1.2 позволяет злоумышленникам выполнять произвольный код через специально созданное приложение, которое генерирует сообщения журнала.
CVE-2014-1356Переполнение буфера на основе кучи в launchd в Apple iOS до версии 7.1.2, Apple OS X до версии 10.9.4 и Apple TV до версии 6.1.2 позволяет злоумышленникам выполнять произвольный код через специально созданное приложение, которое отправляет сообщения IPC.
CVE-2012-5112Уязвимость use-after-free в реализации SVG в WebKit, используемой в Google Chrome до версии 22.0.1229.94, позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные векторы.
CVE-2011-3046Подсистема расширений в Google Chrome до версии 17.0.963.78 неправильно обрабатывает навигацию по истории, что позволяет удаленным злоумышленникам выполнять произвольный код, используя проблему "Universal XSS (UXSS)".