| CVE ID | CVE-2025-4280 |
| Data publikacji | 22 maja 2025 |
| Producent podatnego oprogramowania | Poedit |
| Nazwa podatnego oprogramowania | Poedit |
| Podatne wersje | Od 2.0 do 3.6.3 |
| Typ podatności (CWE) | Incorrect Default Permissions (CWE-276) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-4412 |
| Data publikacji | 26 maja 2025 |
| Producent podatnego oprogramowania | SparkLabs |
| Nazwa podatnego oprogramowania | Viscosity |
| Podatne wersje | Wszystkie do 1.11.4 włącznie |
| Typ podatności (CWE) | Incorrect Default Permissions (CWE-276) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-4081 |
| Data publikacji | 29 maja 2025 |
| Producent podatnego oprogramowania | Blackmagic Design |
| Nazwa podatnego oprogramowania | DaVinci Resolve |
| Podatne wersje | Wszystkie |
| Typ podatności (CWE) | Incorrect Default Permissions (CWE-276) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach występujących w trzech aplikacjach na systemy macOS i koordynował proces ujawniania informacji.
Poedit
Podatność CVE-2025-4280: Wersja Poedit na urządzenia z systemem macOS posiada interpreter Python, który dziedziczy uprawnienia nadane głównej aplikacji w systemie Transparency, Consent, and Control (TCC). Atakujący z lokalnym dostępem może uruchomić ten interpreter, za pomocą poleceń bądź skryptów, i wykorzystać uprawnienia głównej aplikacji do uzyskiwania dostępu do plików użytkownika w chronionych folderach, bez wywoływania monitów z prośbą o przyznanie dostępu. Dostęp do pozostałych zasobów, do których uprawnienia nie zostały przyznane, wywoła monit z prośbą o akceptację w imieniu aplikacji Poedit, potencjalnie maskując złośliwe zamiary atakującego.
Ta podatność została usunięta w wersji Poedit 3.6.3.
Viscosity
Podatność CVE-2025-4412: W systemie operacyjnym macOS, wykorzystując agenta uruchamiania (Launch Agent) i ładując proces viscosity_openvpn, możliwe jest załadowanie dynamicznej biblioteki z uprawnieniami Transparency, Consent, and Control (TCC) aplikacji Viscosity. Uzyskany dostęp do zasobów jest ograniczony i nie obejmuje uprawnień takich jak dostęp do kamery czy mikrofonu. Dynamiczna biblioteka uzyskuje jedynie uprawnienia do zasobów plikowych przyznanych wcześniej przez użytkownika (domyślnie aplikacja nie ma przyznanych żadnych uprawnień, w tym również do plików). Dostęp do pozostałych zasobów poza nadanymi uprawnieniami wymaga interakcji użytkownika z systemowym monitem z prośbą o nadanie dostępu.
Ta podatność została usunięta w wersji 1.11.5 aplikacji Viscosity.
DaVinci Resolve
Podatność CVE-2025-4081: Obecność uprawnienia "com.apple.security.cs.disable-library-validation" wraz z brakiem ograniczeń dotyczących uruchamiania i ładowania bibliotek umożliwia podmianę dynamicznej biblioteki. Atakujący z dostępem do nieuprzywilejowanego konta może podmienić dynamiczną bibliotekę i uruchomić aplikację, omijając w ten sposób system Transparency, Consent, and Control (TCC). Dynamiczna biblioteka uzyskuje jedynie uprawnienia do zasobów wcześniej przyznanych przez użytkownika. Dostęp do pozostałych zasobów, wymaga interakcji użytkownika z systemowym monitem z prośbą o nadanie dostępu.
Ta podatność dotyczy wszystkich wersji DaVinci Resolve na systemy operacyjne macOS. Ostatnia testowana wersja: 19.1.3
Podziękowania
Za zgłoszenia podatności dziękujemy Karolowi Mazurkowi z Afine.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.