Om sikkerhedsindholdet i macOS Sonoma 14.8

I dette dokument beskrives sikkerhedsindholdet i macOS Sonoma 14.8.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Sonoma 14.8

AMD

Fås til: macOS Sonoma

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2025-43312: ABC Research s.r.o.

AppKit

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Problemet blev løst ved at forhindre ikke-signerede tjenester i at starte på Mac-computere med Intel.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Online Store Kit

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2025-31268: Csaba Fitzl (@theevilbit) og Nolan Astrein fra Kandji

AppSandbox

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

CoreAudio

Fås til: macOS Sonoma

Effekt: Behandling af et skadeligt videoarkiv kan føre til pludselig applukning

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2025-43349: @zlluny, der arbejder med Trend Zero Day Initiative

CoreAudio

Fås til: macOS Sonoma

Effekt: Behandling af et skadeligt lydarkiv kan medføre beskadigelse af hukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-43277: Googles Threat Analysis Group

CoreMedia

Fås til: macOS Sonoma

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et problem med tilladelser er løst ved yderligere sandbox-begrænsninger.

CVE-2025-43273: Seo Hyun-gyu (@wh1te4ever), Minghao Lin (@Y1nKoc), 风 (binaryfmyy), BochengXiang(@Crispr) og YingQi Shi (@Mas0nShi), Dora Orak

CoreServices

Fås til: macOS Sonoma

Effekt: En skadelig app kan muligvis få adgang til private oplysninger

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2025-43305: en anonym programmør, Mickey Jin (@patch1t)

GPU Drivers

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2025-43326: Wang Yu fra Cyberserval

IOHIDFamily

Fås til: macOS Sonoma

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2025-43302: Keisuke Hosoda

IOKit

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2025-31255: Csaba Fitzl (@theevilbit) fra Kandji

Kernel

Fås til: macOS Sonoma

Effekt: En UDP-serversokkel, der er bundet til en lokal grænseflade, bliver muligvis bundet til alle grænseflader

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2025-43231: Mickey Jin (@patch1t), Kirin@Pwnrin og LFY@secsys fra Fudan University, en anonym programmør

libc

Fås til: macOS Sonoma

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Et DoS-problem er løst via forbedret godkendelse.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

Fås til: macOS Sonoma

Effekt: Behandling af streng med skadelig kode kan føre til beskadigelse af heap

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MediaLibrary

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2025-43319: Hikerell (Loadshine Lab)

MigrationKit

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) fra Lupus Nova

MobileStorageMounter

Fås til: macOS Sonoma

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2025-43355: Dawuge fra Shuffle Team

Notification Center

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til kontaktoplysninger, der er relateret til notifikationer, i Notifikationscenter

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2025-43301: LFY@secsys fra Fudan University

PackageKit

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier blev løst via forbedret stigodkendelse.

CVE-2025-43298: en anonym programmør

Perl

Fås til: macOS Sonoma

Effekt: Flere problemer i Perl

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2025-40909

Printing

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2025-31269: Zhongcheng Li fra IES Red Team hos ByteDance

Ruby

Fås til: macOS Sonoma

Effekt: Behandling af et arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2024-27280

Screenshots

Fås til: macOS Sonoma

Effekt: En app kan muligvis tage et skærmbillede af en app, der skifter til eller fra fuld skærm

Beskrivelse: Et anonymitetsproblem er løst via forbedret kontrol.

CVE-2025-31259: en anonym programmør

Security Initialization

Fås til: macOS Sonoma

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et problem med omgåelse af arkivkarantæne blev løst via yderligere kontroller.

CVE-2025-43332: en anonym programmør

SharedFileList

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret validering af input.

CVE-2025-43293: en anonym programmør

SharedFileList

Fås til: macOS Sonoma

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Et problem med tilladelser er løst ved at fjerne den sårbare kode.

CVE-2025-43291: Ye Zhang fra Baidu Security

SharedFileList

Fås til: macOS Sonoma

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2025-43286: pattern-f (@pattern_F_), @zlluny

Shortcuts

Fås til: macOS Sonoma

Effekt: En genvej kan muligvis omgå sandbox-begrænsninger

Beskrivelse: Et problem med tilladelser er løst ved yderligere sandbox-begrænsninger.

CVE-2025-43358: 정답이 아닌 해답

Siri

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Et anonymitetsproblem er løst ved at flytte følsomme data.

CVE-2025-43367: Kirin (@Pwnrin), Cristian Dinca fra "Tudor Vianu" National High School of Computer Science, Rumænien

Spell Check

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier blev løst via forbedret stigodkendelse.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) fra Lupus Nova

Storage

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2025-43341: en anonym programmør

StorageKit

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier blev løst via forbedret stigodkendelse.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: En konkurrencetilstand er løst via forbedret tilstandshåndtering.

CVE-2025-43304: Mickey Jin (@patch1t)

Touch Bar

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Problemet er løst via ekstra rettighedskontroller.

CVE-2025-43311: en anonym programmør, Justin Elliot Fu

Touch Bar Controls

Fås til: macOS Sonoma

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via ekstra rettighedskontroller.

CVE-2025-43308: en anonym programmør

WindowServer

Fås til: macOS Sonoma

Effekt: En app kan muligvis narre en bruger til at kopiere følsomme data til udklipsholderen

Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.

CVE-2025-43310: en anonym programmør

Yderligere anerkendelser

Airport

Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Kandji for hjælpen.

libpthread

Vi vil gerne takke Nathaniel Oh (@calysteon) for hjælpen.

libxml2

Vi vil gerne takke Nathaniel Oh (@calysteon) og Sergei Glazunov fra Google Project Zero for hjælpen.

SharedFileList

Vi vil gerne takke Ye Zhang fra Baidu Security for hjælpen.

Wi-Fi

Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Kandji, Noah Gregory (wts.dev), Wojciech Regula fra SecuRing (wojciechregula.blog) og en anonym programmør for hjælpen.