CVE-2025-43530

Nome do Software Vulnerável e Versões Afetadas Versões do macOS anteriores à 26.2 Versões do macOS Sonoma anteriores à 14.8.3 Versões do macOS Sequoia anteriores à 15.7.3 Versões do iOS anteriores à 18.7.3 Versões do iPadOS anteriores à 18.7.3

Descrição O problema envolve uma contornação do Controle de Consentimento e Confiança (TCC) no macOS, iOS e iPadOS. Um aplicativo pode ser capaz de acessar dados sensíveis do usuário sem permissão explícita do usuário. A falha abusa da confiança em componentes de acessibilidade assinados pela Apple, especificamente VoiceOver e ScreenReader, juntamente com uma vulnerabilidade de Tempo de Verificação para Tempo de Uso (TOCTOU). Isso permite a execução silenciosa de AppleScript/AppleEvents, potencialmente concedendo acesso não autorizado a arquivos, dados do microfone e dados da câmera. A vulnerabilidade reside no ScreenReader.framework e envolve contornar o TCC através da manipulação de verificações baseadas em caminho de arquivo e potencial injeção de código em binários assinados pela Apple. O problema foi corrigido com verificações aprimoradas e validação de entitlements via token de auditoria.

Recomendações Atualize para a versão 26.2 ou posterior do macOS. Atualize para a versão 14.8.3 ou posterior do macOS Sonoma. Atualize para a versão 15.7.3 ou posterior do macOS Sequoia. Atualize para a versão 18.7.3 ou posterior do iOS. Atualize para a versão 18.7.3 ou posterior do iPadOS.