- شناسه CVE-2025-43214 :CVE
- CWE-119 :CWE
- yes :Advisory
- منتشر شده: جولای 29, 2025
- به روز شده: جولای 30, 2025
- امتیاز: 6.5
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: مرورگرها
- برند: Apple
- محصول: Safari
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری در مدیریت حافظه محصولات اپل شامل Safari، macOS، iOS، iPadOS، tvOS، watchOS، و visionOS شناسایی شده است که میتواند هنگام پردازش محتوای وب مخرب منجر به کرش غیرمنتظره Safari شود.
توضیحات
آسیبپذیری CVE-2025-43214 از نوع محدودیت نادرست محدوده بافر حافظه (مطابق با CWE-119) در چندین محصول اپل است. این آسیب پذیری به شرایطی اشاره دارد که برنامه بهطور نادرست عملیات حافظه را مدیریت کرده و امکان دسترسی یا نوشتن خارج از محدوده بافر را فراهم میکند که این امر میتواند منجر به خرابی برنامه یا سیستم شود. در این مورد، پردازش محتوای وب مخرب مانند صفحات وب یا اسکریپتهای طراحیشده میتواند باعث کرش غیرمنتظره Safari شود.
این حمله از راه دور قابل اجرا بوده، نیازی به سطح دسترسی اولیه ندارد، اما نیازمند تعامل کاربر است، مانند بازدید از یک وبسایت مخرب. پیچیدگی حمله پایین بوده و دامنه تأثیرگذاری محدود به سیستم آسیبپذیر می باشد. این ضعف صرفاً در دسترس پذیری سیستم را تحت تاثیر قرار می دهد. اپل این آسیب پذیری را با بهبود مدیریت حافظه در نسخههای جدید محصولات خود پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected before 18.6 | Safari |
| affected before 15.6 | macOS |
| affected before 18.6 | tvOS |
| affected before 2.6 | visionOS |
| affected before 11.6 | watchOS |
| affected before 18.6 | iOS and iPadOS |
لیست محصولات بروز شده
| Versions | Product |
| 18.6 | Safari |
| 15.6 | macOS Sequoia |
| 18.6 | tvOS |
| 2.6 | visionOS |
| 11.6 | watchOS |
| 18.6 | iOS and iPadOS |
نتیجه گیری
با توجه به تأثیر این آسیبپذیری بر قابلیت دسترسپذیری سیستم و احتمال بروز کرش در Safari و سایر محصولات اپل، ضروری است کاربران در اسرع وقت دستگاههای خود را به نسخههای اصلاحشده بهروزرسانی کنند. تا پیش از اعمال بهروزرسانی، توصیه میشود از بازدید وبسایتهای نامعتبر یا کلیک روی لینکهای مشکوک خودداری شود. همچنین در محیطهای سازمانی، استفاده از راهکارهای مدیریت دستگاه همراه (MDM) برای استقرار سریع پچها الزامی است. فعالسازی افزونههای امنیتی مرورگر همچون مسدودکنندههای محتوای مخرب و پایش مستمر لاگهای سیستم بهمنظور شناسایی کرشها یا رفتارهای غیرمنتظره مرتبط با Safari و WebKit نیز از جمله اقدامات مکمل به شمار میروند. اجرای هماهنگ این تدابیر میتواند امنیت دستگاههای اپل را تضمین کرده و از بروز اختلال یا توقف سرویس جلوگیری کند.
امکان استفاده در Mitre Attack
- Tactic (TA0001) – Initial Access
Sub-technique (T1203) – Exploitation for Client Execution
مهاجم میتواند یک محتوای وب مخرب (صفحه وب یا اسکریپت) طراحی کند که هنگام بازدید کاربر در Safari پردازش شود و منجر به سوءاستفاده از ضعف مدیریت حافظه گردد. - Tactic (TA0004) – Privilege Escalation
Sub-technique (T1068) – Exploitation for Privilege Escalation
در صورت موفقیتآمیز بودن بهرهبرداری، مهاجم قادر است از طریق اجرای کد دلخواه سطح دسترسی خود را ارتقا دهد و کنترل بیشتری بر محیط کاربر یا سیستم بهدست آورد. - Tactic (TA0005) – Defense Evasion
Sub-technique (T1207) – Obfuscated Files or Information
محتوای مخرب میتواند به گونهای طراحی شود که در قالب فایل یا اسکریپت وب عادی به نظر برسد و از شناسایی توسط مکانیسمهای امنیتی یا مرورگر عبور کند. - Tactic (TA0040) – Impact
Sub-technique (T1499) – Endpoint Denial of Service
اجرای موفق حمله میتواند منجر به کرش ناگهانی Safari و اختلال در دسترسپذیری سیستم شود که در برخی موارد به عنوان یک حمله انکار سرویس (DoS) قابل طبقهبندی است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-43214
- https://www.cvedetails.com/cve/CVE-2025-43214/
- https://support.apple.com/en-us/124152
- https://support.apple.com/en-us/124149
- https://support.apple.com/en-us/124153
- https://support.apple.com/en-us/124154
- https://support.apple.com/en-us/124155
- https://support.apple.com/en-us/124147
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-43214
- https://nvd.nist.gov/vuln/detail/cve-2025-43214
- https://cwe.mitre.org/data/definitions/119.html
