NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Apple AirPlay zoals gebruikt door macOS, iOS en iPadOS
Advisory ID     : NCSC-2025-0140
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2025-24126, CVE-2025-24129, CVE-2025-24131,
                  CVE-2025-24177, CVE-2025-24179, CVE-2025-24206,
                  CVE-2025-24251, CVE-2025-24252, CVE-2025-24270,
                  CVE-2025-24271, CVE-2025-30445, CVE-2025-31197,
                  CVE-2025-31202
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Resource Shutdown or Release
                  Uncontrolled Resource Consumption
                  Access of Resource Using Incompatible Type ('Type
                  Confusion')
                  Missing Authorization
                  Exposure of Sensitive Information to an Unauthorized
                  Actor
                  Use After Free
                  Buffer Copy without Checking Size of Input ('Classic
                  Buffer Overflow')
                  NULL Pointer Dereference
                  Incorrect Authorization
Uitgiftedatum   : 20250430
Toepassing      : Apple AirPlay audio SDK
                  Apple AirPlay video SDK
                  Apple CarPlay Communication Plug-in
                  Apple Iphone Os
                  Apple iOS and iPadOS
                  Apple iPad OS
                  Apple iPadOS
                  Apple iPhone OS
                  Apple macOS
Versie(s)       :
Platform(s)     :

Beschrijving
   Apple heeft kwetsbaarheden verholpen in AirPlay, zoals gebruikt in
   diverse Apple-producten waaronder macOS, iOS en iPadOS.

   De kwetsbaarheden worden misbruikt voor het veroorzaken van een
   Denial-of-Service, het omzeilen van authenticatie en het uitvoeren
   van willekeurige code. Hiertoe dient de kwaadwillende via AirPlay
   vanaf een lokaal netwerk malafide content naar een kwetsbaar systeem
   te sturen.
   De kwetsbaarheden zijn ontdekt door onderzoekers van
   beveiligingsbedrijf Oligo. De onderzoekers geven aan dat de
   kwetsbaarheden achtereenvolgens kunnen worden misbruikt voor het
   uitvoeren van malafide code op een systeem, zonder dat hiervoor
   authenticatie is vereist.

Mogelijke oplossingen
   Apple heeft op 31 maart updates uitgebracht om de kwetsbaarheden te
   verhelpen in verschillende versies van macOS, iOS en iPadOS. Ook zijn
   updates uigebracht voor tvOS en AirPlay SDK's. Zie bijgevoegde
   referenties voor meer informatie.

   Referenties:
      Reference - certbundde; cveprojectv5; nvd
      https://support.apple.com/en-us/122371

      Reference - certbundde; cveprojectv5; nvd
      https://support.apple.com/en-us/122372

      Reference - certbundde; cveprojectv5; nvd
      https://support.apple.com/en-us/122373

      Reference - certbundde; cveprojectv5; nvd
      https://support.apple.com/en-us/122374

      Reference - certbundde; cveprojectv5; nvd
      https://support.apple.com/en-us/122375

      Reference - cveprojectv5; nvd
      https://support.apple.com/en-us/122377

      Reference - ncscclear
      https://support.apple.com/en-us/122403

      Reference - ncscclear
      https://www.oligo.security/blog/airborne

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=89Hb
-----END PGP SIGNATURE-----