Informationen zum Sicherheitsinhalt von macOS Sequoia 15.4

In diesem Dokument wird der Sicherheitsinhalt von macOS Sequoia 15.4 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

macOS Sequoia 15.4

Accessibility

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2025-24202: Zhongcheng Li von IES Red Team von ByteDance

AccountPolicy

Verfügbar für: macOS Sequoia

Auswirkung: Eine schadhafte App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2025-24234: Ein anonymer Forscher

AirDrop

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise willkürliche Dateimetadaten lesen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-24097: Ron Masas von BREAKPOINT.SH

AirPlay

Verfügbar für: macOS Sequoia

Auswirkung: Angriffe auf das lokale Netzwerk können einen Denial-of-Service verursachen.

Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

Verfügbar für: macOS Sequoia

Auswirkung: Angriffe auf das lokale Netzwerk können Apps unerwartet beenden.

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2025-30445: Uri Katz (Oligo Security)

AirPlay

Verfügbar für: macOS Sequoia

Auswirkung: Angriffe auf das lokale Netzwerk können vertrauliche Benutzerdaten offenlegen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

Verfügbar für: macOS Sequoia

Auswirkung: Angriffe auf das lokale Netzwerk können die Authentifizierungsrichtlinie umgehen.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

Verfügbar für: macOS Sequoia

Auswirkung: Angriffe auf das lokale Netzwerk können den Prozessspeicher beschädigen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

Verfügbar für: macOS Sequoia

Auswirkung: Nicht authentifizierte Benutzer im selben Netzwerk wie ein angemeldeter Mac können AirPlay-Befehle an diesen senden, ohne mit dem Mac gekoppelt zu sein.

Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

Verfügbar für: macOS Sequoia

Auswirkung: Angriffe auf das lokale Netzwerk können Apps unerwartet beenden.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

App Store

Verfügbar für: macOS Sequoia

Auswirkung: Eine in böswilliger Absicht erstellte App kann möglicherweise auf private Daten zugreifen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2025-24276: Ein anonymer Forscher

AppleMobileFileIntegrity

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24272: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.

Beschreibung: Ein Downgrade-Problem wurde durch zusätzliche Einschränkungen zur Codesignatur behoben.

CVE-2025-24239: Wojciech Regula von SecuRing (wojciechregula.blog)

AppleMobileFileIntegrity

Verfügbar für: macOS Sequoia

Auswirkungen: Eine schadhafte App kann möglicherweise geschützte Dateien lesen oder bearbeiten

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-24233: Claudio Bozzato und Francesco Benvenuto von Cisco Talos.

AppleMobileFileIntegrity

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Datenschutzproblem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2025-30443: Bohdan Stasiuk (@bohdan_stasiuk)

Audio

Verfügbar für: macOS Sequoia

Auswirkung: ASLR kann möglicherweise von einer App umgangen werden.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-43205: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

Audio

Verfügbar für: macOS Sequoia

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schrift kann zur Preisgabe des Prozessspeichers führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24244: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

Audio

Verfügbar für: macOS Sequoia

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24243: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

Authentication Services

Verfügbar für: macOS Sequoia

Auswirkung: Beim automatischen Ausfüllen von Passwörtern werden möglicherweise Passwörter eingefügt, nachdem die Authentifizierung fehlgeschlagen ist.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30430: Dominik Rath

Authentication Services

Verfügbar für: macOS Sequoia

Auswirkung: Eine bösartige Website kann möglicherweise WebAuthn-Anmeldedaten von einer anderen Website anfordern, die ein registrierbares Suffix hat.

Beschreibung: Das Problem wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2025-24180: Martin Kreichgauer von Google Chrome

Authentication Services

Verfügbar für: macOS Sequoia

Auswirkung: Eine bösartige Anwendung kann möglicherweise auf die gespeicherten Kennwörter eines Benutzers zugreifen.

Beschreibung: Dieses Problem wurde durch Hinzufügen einer Verzögerung zwischen den Verifizierungscode-Versuchen behoben.

CVE-2025-24245: Ian Mckay (@iann0036)

Automator

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.

Beschreibung: Ein Problem mit den Berechtigungen wurde durch zusätzliche Überprüfungen und das Entfernen des angreifbaren Codes behoben.

CVE-2025-30460: Ein anonymer Forscher

BiometricKit

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CloudKit

Verfügbar für: macOS Sequoia

Auswirkung: Eine in böswilliger Absicht erstellte App kann möglicherweise auf private Daten zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24215: Kirin (@Pwnrin)

CoreAudio

Verfügbar für: macOS Sequoia

Auswirkung: Die Analyse einer Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Verfügbar für: macOS Sequoia

Auswirkung: Die Wiedergabe einer in böswilliger Absicht erstellten Audiodatei kann zu einem unerwarteten App-Abbruch führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-24230: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

CoreGraphics

Verfügbar für: macOS Sequoia

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Datei kann zu einem Denial-of-Service führen und möglicherweise Speicherinhalte preisgeben.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-31196: wac in Zusammenarbeit mit der Trend Micro Zero Day Initiative

CoreMedia

Verfügbar für: macOS Sequoia

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Dieses Problem wurde durch verbesserte Speicherverwaltung behoben.

CVE-2025-24211: Hossein Lotfi (@hosselot) von der Trend Micro Zero Day Initiative

CoreMedia

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2025-24236: Csaba Fitzl (@theevilbit) und Nolan Astrein of Kandji

CoreMedia

Verfügbar für: macOS Sequoia

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24190: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

CoreMedia Playback

Verfügbar für: macOS Sequoia

Auswirkung: Eine in böswilliger Absicht erstellte App kann möglicherweise auf private Daten zugreifen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) von Microsoft und ein anonymer Forscher

CoreText

Verfügbar für: macOS Sequoia

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schrift kann zur Preisgabe des Prozessspeichers führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-24182: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

CoreUtils

Verfügbar für: macOS Sequoia

Auswirkung: Angriffe auf das lokale Netzwerk können einen Denial-of-Service verursachen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-31203: Uri Katz (Oligo Security)

Crash Reporter

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.

CVE-2025-24277: Csaba Fitzl (@theevilbit) von Kandji und Gergely Kalman (@gergely_kalman) und ein anonymer Forscher

curl

Verfügbar für: macOS Sequoia

Auswirkung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2024-9681

Disk Images

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Eine Umgehung der Datei-Quarantäne wurde durch zusätzliche Prüfungen behoben.

CVE-2025-31189: Ein anonymer Forscher

Disk Images

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Dateizugriffsfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-24255: Ein anonymer Forscher

DiskArbitration

Verfügbar für: macOS Sequoia

Auswirkung: Eine schadhafte App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-30453: Csaba Fitzl (@theevilbit) von Kandji und ein anonymer Forscher

DiskArbitration

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.

CVE-2025-30456: Gergely Kalman (@gergely_kalman)

DiskArbitration

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-24267: Ein anonymer Forscher

CVE-2025-24258: Csaba Fitzl (@theevilbit) von Kandji und ein anonymer Forscher

Dock

Verfügbar für: macOS Sequoia

Auswirkung: Eine in böswilliger Absicht erstellte App kann möglicherweise auf private Daten zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-30455: Mickey Jin (@patch1t) und ein anonymer Forscher

Dock

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2025-31187: Rodolphe BRUNETTI (@eisw0lf) von Lupus Nova

dyld

Verfügbar für: macOS Sequoia

Auswirkung: Apps, die anscheinend App Sandbox verwenden, können möglicherweise ohne Einschränkungen gestartet werden.

Beschreibung: Ein Problem mit Mediathekeinschleusungen wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-30462: Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi von Shielder (shielder.com)

FaceTime

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

CVE-2025-30451: Kirin (@Pwnrin) und luckyu (@uuulucky)

FeedbackLogger

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2025-24281: Rodolphe BRUNETTI (@eisw0lf)

Focus

Verfügbar für: macOS Sequoia

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein gesperrtes Gerät kann möglicherweise vertrauliche Benutzerdaten einsehen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-30439: Andr. Ess

Focus

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.

Beschreibung: Ein Zugriffsproblem wurde mit zusätzlichen Sandbox-Beschränkungen auf den System-Pasteboards behoben.

CVE-2025-30461: Ein anonymer Forscher

Foundation

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch Bereinigen der Protokollierung behoben.

CVE-2025-30447: LFY@secsys von der Fudan-Universität

Foundation

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Ein Problem mit einem unkontrollierten Formatstring wurde mit verbesserter Eingabeüberprüfung behoben.

CVE-2025-24199: Manuel Fernandez (Stackhopper Security)

GPU Drivers

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann einen unerwarteten Systemabbruch oder einen Fehler beim Kernel-Speicher verursachen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-30464: ABC Research s.r.o.

CVE-2025-24273: Wang Yu von Cyberserval

GPU Drivers

Verfügbar für: macOS Sequoia

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-24256: Eine anonyme Person in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Murray Mike

Handoff

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Einschränkung des Zugriffs auf Datencontainer behoben.

CVE-2025-30463: mzzzz__

iCloud Document Sharing

Verfügbar für: macOS Sequoia

Auswirkung: Ein Angreifer kann möglicherweise die Freigabe eines iCloud-Ordners ohne Authentifizierung aktivieren

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-30448: Dayton Pidhirney von Atredis Partners, Lyutoon und YenKoc

ImageIO

Verfügbar für: macOS Sequoia

Auswirkung: Die Analyse eines Bildes kann zur Preisgabe von Benutzerinformationen führen

Beschreibung: Ein Logikfehler wurde durch eine verbesserte Fehlerverarbeitung behoben.

CVE-2025-24210: Eine anonyme Person in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Installer

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise das Vorhandensein eines willkürlichen Pfads im Dateisystem überprüfen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2025-24249: YingQi Shi (@Mas0nShi) von DBAppSecurity's WeBin lab und Minghao Lin (@Y1nKoc)

Installer

Verfügbar für: macOS Sequoia

Auswirkung: Eine App in einer Sandbox kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24229: Ein anonymer Forscher

IOGPUFamily

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-24257: Wang Yu von Cyberserval

IOMobileFrameBuffer

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise den Coprozessor-Arbeitsspeicher beschädigen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-31263: Ye Zhang (@VAR10CK) von Baidu Security

IOMobileFrameBuffer

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise den Coprozessor-Arbeitsspeicher beschädigen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-30437: Ye Zhang (@VAR10CK) von Baidu Security

Kerberos Helper

Verfügbar für: macOS Sequoia

Auswirkung: Ein:e entfernte:r Angreifer:in kann einen unerwarteten Programmabbruch oder eine Heapbeschädigung verursachen.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24235: Dave G. von Supernetworks

Kernel

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24204: Koh M. Nakagawa (@tsunek0h) von FFRI Security, Inc.

Kernel

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24203: Ian Beer von Google Project Zero

Kernel

Verfügbar für: macOS Sequoia

Impact: Ein Angreifer mit Benutzerrechten kann möglicherweise den Kernel-Speicher lesen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24196: Joseph Ravichandran (@0xjprx) von MIT CSAIL

LaunchServices

Verfügbar für: macOS Sequoia

Auswirkung: Eine schadhafte JAR-Datei kann Gatekeeper-Überprüfungen umgehen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Handhabung von ausführbaren Typen behoben.

CVE-2025-24148: Kenneth Chew

libarchive

Verfügbar für: macOS Sequoia

Auswirkung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2024-48958

Libinfo

Verfügbar für: macOS Sequoia

Auswirkung: Ein Nutzer kann die Rechte erhöhen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-24195: Paweł Płatek (Trail of Bits)

libnetcore

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-31231: Wojciech Regula von SecuRing (wojciechregula.blog)

libnetcore

Verfügbar für: macOS Sequoia

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24194: Ein anonymer Forscher

libxml2

Verfügbar für: macOS Sequoia

Auswirkung: Die Analyse einer Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2025-27113

CVE-2024-56171

libxpc

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-24178: Ein anonymer Forscher

libxpc

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise Dateien löschen, für die sie keine Zugriffsrechte hat.

Beschreibung: Dieses Problem wurde durch eine verbesserte Verarbeitung von Symlinks behoben.

CVE-2025-31182: Alex Radocea und Dave G. von Supernetworks, 风沐云烟(@binary_fmyy) und Minghao Lin(@Y1nKoc)

libxpc

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24238: Ein anonymer Forscher

Logging

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) von Microsoft, Alexia Wilson von Microsoft, Christine Fossaceca von Microsoft

macOS Recovery

Verfügbar für: macOS Sequoia

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein gesperrtes Gerät kann möglicherweise vertrauliche Benutzerdaten einsehen.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-31264: Diamant Osmani & Valdrin Haliti [Kosovë], dbpeppe, Solitechworld

Mail

Verfügbar für: macOS Sequoia

Auswirkung: „Block All Remote Content“ gilt möglicherweise nicht für alle E-Mail-Vorschauen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2025-24172: Ein anonymer Forscher

manpages

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Validierung von Symlinks behoben.

CVE-2025-30450: Pwn2car

Maps

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Logik behoben.

CVE-2025-30470: LFY@secsys von der Fudan University

NetworkExtension

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf die vom Benutzer installierten Apps auflisten.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-30426: Jimmy

Notes

Verfügbar für: macOS Sequoia

Auswirkung: Eine App in einer Sandbox kann möglicherweise auf vertrauliche Benutzerdaten in Systemprotokollen zugreifen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2025-24262: LFY@secsys von der Fudan University

NSDocument

Verfügbar für: macOS Sequoia

Auswirkung: Eine schadhafte App kann möglicherweise auf willkürliche Dateien zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-24232: Ein anonymer Forscher

OpenSSH

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Eingabeproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2025-24246: Mickey Jin (@patch1t) und Csaba Fitzl (@theevilbit) von Kandji

PackageKit

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24261: Mickey Jin (@patch1t)

PackageKit

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24164: Mickey Jin (@patch1t)

PackageKit

Verfügbar für: macOS Sequoia

Auswirkung: Eine schadhafte App mit Root-Rechten kann möglicherweise den Inhalt von Systemdateien ändern.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-30446: Pedro Tôrres (@t0rr3sp3dr0)

Parental Controls

Verfügbar für: macOS Sequoia

Auswirkung: Eine Anwendung kann möglicherweise Safari-Lesezeichen ohne eine Berechtigungsprüfung abrufen.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-24259: Noah Gregory (wts.dev)

Photos Storage

Verfügbar für: macOS Sequoia

Auswirkung: Das Löschen einer Konversation in der Nachrichten-App kann dazu führen, dass Benutzerkontaktdaten in Systemprotokollen offengelegt werden.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2025-30424: Ein anonymer Forscher

Power Services

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-24173: Mickey Jin (@patch1t)

Python

Verfügbar für: macOS Sequoia

Auswirkung: Ein entfernter Angreifer kann unter Umständen die Überprüfung der Absenderrichtlinien umgehen und bösartige Inhalte per E-Mail versenden.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2023-27043

RPAC

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Dieses Problem wurde durch eine verbesserte Prüfung der Umgebungsvariablen behoben.

CVE-2025-24191: Claudio Bozzato und Francesco Benvenuto von Cisco Talos

Safari

Verfügbar für: macOS Sequoia

Auswirkung: Eine Website kann möglicherweise die Same Origin Policy umgehen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

Verfügbar für: macOS Sequoia

Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).

Beschreibung: Das Problem wurde durch verbesserte UI behoben.

CVE-2025-24113: @RenwaX23

Safari

Verfügbar für: macOS Sequoia

Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu URL-Spoofing führen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-30467: @RenwaX23

Safari

Verfügbar für: macOS Sequoia

Auswirkung: Eine Website kann möglicherweise ohne Einwilligung des Benutzers auf Sensorinformationen zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-31192: Jaydev Ahire

Safari

Verfügbar für: macOS Sequoia

Auswirkung: Der Ursprung eines Downloads wird möglicherweise falsch zugeordnet.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-24167: Syarif Muhammad Sajjad

Sandbox

Verfügbar für: macOS Sequoia

Auswirkung: Eine Anwendung kann ohne Zustimmung des Benutzers auf Wechseldatenträger zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Verfügbar für: macOS Sequoia

Auswirkung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-30452: Ein anonymer Forscher

Sandbox

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-24181: Arsenii Kostromin (0x3c3e)

SceneKit

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise Dateien außerhalb der Sandbox lesen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-30458: Mickey Jin (@patch1t)

Security

Verfügbar für: macOS Sequoia

Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2025-30471: Bing Shi, Wenchao Li Xiaolong Bai von der Alibaba Group, Luyi Xing von der Indiana University Bloomington

Security

Verfügbar für: macOS Sequoia

Auswirkung: Eine bösartige Anwendung, die als HTTPS-Proxy fungiert, könnte Zugang zu sensiblen Benutzerdaten erhalten.

Beschreibung: Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2025-24250: Wojciech Regula von SecuRing (wojciechregula.blog)

Share Sheet

Verfügbar für: macOS Sequoia

Auswirkung: Eine bösartige Anwendung kann die Systembenachrichtigung auf dem Sperrbildschirm, dass eine Aufzeichnung gestartet wurde, ausblenden.

Beschreibung: Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Verfügbar für: macOS Sequoia

Auswirkung: Ein Kurzbefehl kann möglicherweise vertrauliche App-Einstellungen für Kurzbefehle umgehen.

Beschreibung: Dieses Problem wurde behoben, indem eine zusätzliche Eingabeaufforderung für die Benutzerzustimmung hinzugefügt wurde.

CVE-2025-43184: Csaba Fitzl (@theevilbit) von Kandji

Shortcuts

Verfügbar für: macOS Sequoia

Auswirkung: Ein Kurzbefehl kann auf Dateien zugreifen, die normalerweise für die Kurzbefehle-App nicht zugänglich sind.

Beschreibung: Ein Berechtigungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2025-30465: Ein anonymer Forscher

Shortcuts

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2025-24280: Kirin (@Pwnrin)

Shortcuts

Verfügbar für: macOS Sequoia

Auswirkung: Ein Shortcut kann ohne Authentifizierung mit Administratorrechten ausgeführt werden.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-31194: Dolf Hoegaerts, Michiel Devliegere

Shortcuts

Verfügbar für: macOS Sequoia

Auswirkung: Ein Kurzbefehl kann auf Dateien zugreifen, die normalerweise für die Kurzbefehle-App nicht zugänglich sind.

Beschreibung: Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2025-30433: Andrew James Gonzalez

Siri

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Einschränkung des Zugriffs auf Datencontainer behoben.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Verfügbar für: macOS Sequoia

Auswirkung: Eine App in einer Sandbox kann möglicherweise auf vertrauliche Benutzerdaten in Systemprotokollen zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

CVE-2025-30435: K宝 (@Pwnrin) und luckyu (@uuulucky)

Siri

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Datenschutzproblem wurde behoben, indem der Inhalt von Textfeldern nicht mehr protokolliert wird.

CVE-2025-24214: Kirin (@Pwnrin)

Siri

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise Geräte aufzählen, die sich beim Apple Account des Benutzers angemeldet haben.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-24248: Minghao Lin (@Y1nKoc) und Tong Liu@Lyutoon_ und 风(binary_fmyy) und F00L

Siri

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-24205: YingQi Shi (@Mas0nShi) von DBAppSecurity's WeBin Lab und Minghao Lin (@Y1nKoc)

Siri

Verfügbar für: macOS Sequoia

Auswirkung: Ein Angreifer mit physischem Zugriff kann möglicherweise mithilfe von Siri auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch Einschränkung der Optionen behoben, die auf einem gesperrten Gerät zur Verfügung stehen.

CVE-2025-24198: Richard Hyunho Im (@richeeta) mit routezero.security

SMB

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24269: Alex Radocea von Supernetworks

SMB

Verfügbar für: macOS Sequoia

Auswirkung: Das Einbinden einer in böser Absicht erstellten SMB-Netzwerkfreigabe kann zur Beendigung des Systems führen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2025-30444: Dave G. von Supernetworks

SMB

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24228: Joseph Ravichandran (@0xjprx) von MIT CSAIL

smbx

Verfügbar für: macOS Sequoia

Auswirkung: Ein Angreifer in einer privilegierten Position kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24260: zbleet vom QI-ANXIN TianGong Team

Software Update

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Das Problem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2025-30442: Ein anonymer Forscher

Software Update

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Problem mit Mediathekeinschleusungen wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-24282: Claudio Bozzato und Francesco Benvenuto von Cisco Talos

Software Update

Verfügbar für: macOS Sequoia

Auswirkung: Ein Nutzer kann die Rechte erhöhen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Validierung von Symlinks behoben.

CVE-2025-24254: Arsenii Kostromin (0x3c3e)

Software Update

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24231: Claudio Bozzato und Francesco Benvenuto von Cisco Talos

StickerKit

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise ungeschützte Benutzerdaten ausspähen.

Beschreibung: Ein Datenschutzproblem wurde behoben, indem vertrauliche Daten in einen geschützten Bereich verschoben wurden.

CVE-2025-24263: Cristian Dinca von der „Tudor Vianu“ National High School of Computer Science, Rumänien

Storage Management

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise iCloud-Speicherfunktionen ohne Zustimmung des Benutzers aktivieren.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-24207: YingQi Shi (@Mas0nShi) von DBAppSecurity's WeBin lab, 风沐云烟 (binary_fmyy) und Minghao Lin (@Y1nKoc)

StorageKit

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2025-31261: Mickey Jin (@patch1t)

StorageKit

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-30449: Arsenii Kostromin (0x3c3e) und ein anonymer Forscher

StorageKit

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Verarbeitung von Symlinks behoben.

CVE-2025-24253: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) von Kandji

StorageKit

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2025-24240: Mickey Jin (@patch1t)

StorageKit

Verfügbar für: macOS Sequoia

Auswirkung: Die Datenschutz-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2025-31188: Mickey Jin (@patch1t)

Summarization Services

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf Informationen zu den Kontakten eines Benutzers zugreifen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2025-24218: Kirin und FlowerCode, Bohdan Stasiuk (@bohdan_stasiuk)

System Settings

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Validierung von Symlinks behoben.

CVE-2025-24278: Zhongquan Li (@Guluisacat)

System Settings

Verfügbar für: macOS Sequoia

Auswirkung: Eine App mit Root-Rechten kann möglicherweise auf private Daten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Verarbeitung von Symlinks behoben.

CVE-2025-24242: Koh M. Nakagawa (@tsunek0h) von FFRI Security, Inc.

SystemMigration

Verfügbar für: macOS Sequoia

Auswirkung: Eine in böswilliger Absicht erstellte App kann unter Umständen Symlinks zu geschützten Bereichen der Festplatte erstellen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Validierung von Symlinks behoben.

CVE-2025-30457: Mickey Jin (@patch1t)

TCC

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch eine zusätzliche Logik behoben.

CVE-2025-31195: Pedro José Pereira Vieito (@pvieito / pvieito.com) und ein anonymer Forscher

Voice Control

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise auf Kontakte zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Dateiverarbeitung behoben.

CVE-2025-24279: Mickey Jin (@patch1t)

Web Extensions

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann möglicherweise unbefugt auf das lokale Netzwerk zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) und Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Verfügbar für: macOS Sequoia

Auswirkung: Durch den Besuch einer Website können vertrauliche Daten offengelegt werden.

Beschreibung: Ein Problem beim Importieren von Skripten wurde durch eine verbesserte Isolierung behoben.

CVE-2025-24192: Vsevolod Kokorin (Slonser) von Solidlab

WebKit

Verfügbar für: macOS Sequoia

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24264: Gary Kwong und eine anonyme forschende Person

CVE-2025-24216: Paul Bakker von ParagonERP

WebKit

Verfügbar für: macOS Sequoia

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24209: Francisco Alonso (@revskills) und eine anonyme forschende Person

WebKit

Verfügbar für: macOS Sequoia

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Verfügbar für: macOS Sequoia

Auswirkung: Eine schadhafte Website kann Benutzer in Safari nachverfolgen, wenn der Modus „Privates Surfen“ aktiviert ist

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30425: Ein anonymer Forscher

WindowServer

Verfügbar für: macOS Sequoia

Auswirkungen: Ein Angreifer kann möglicherweise einen unerwarteten App-Abbruch verursachen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24247: PixiePoint Security

WindowServer

Verfügbar für: macOS Sequoia

Auswirkung: Eine Anwendung kann einen Benutzer dazu verleiten, sensible Daten in die Zwischenablage zu kopieren.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2025-24241: Andreas Hegenberg (folivora.AI GmbH)

Xsan

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-24266: Ein anonymer Forscher

Xsan

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-24265: Ein anonymer Forscher

Xsan

Verfügbar für: macOS Sequoia

Auswirkung: Eine App kann einen unerwarteten Systemabbruch oder einen Fehler beim Kernel-Speicher verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24157: Ein anonymer Forscher

zip

Verfügbar für: macOS Sequoia

Auswirkung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

Beschreibung: Dieses Problem wurde durch eine verbesserte Validierung von Symlinks behoben.

CVE-2025-31198: Jonathan Bar Or (@yo_yo_yo_jbo) von Microsoft

Zusätzliche Danksagung

Accounts

Wir möchten uns bei Bohdan Stasiuk (@bohdan_stasiuk) für die Unterstützung bedanken.

AirPlay

Wir möchten uns bei Uri Katz, (Oligo Security) für die Unterstützung bedanken.

Analytics

Wir möchten uns bei YingQi Shi (@Mas0nShi) von DBAppSecurity's WeBin lab und Minghao Lin (@Y1nKoc) für die Unterstützung bedanken.

AppKit

Wir möchten uns bei Taylor (Osintedx) und Mcrich (Morris Richman) für die Unterstützung bedanken.

Apple Account

Wir möchten uns bei Byron Fecho für die Unterstützung bedanken.

AppleMobileFileIntegrity

Wir möchten uns bei Jeffrey Hofmann für die Unterstützung bedanken.

FaceTime

Wir möchten uns bei Anonymous, Dohyun Lee (@l33d0hyun) von USELab, Korea University & Youngho Choi of CEL, Korea University & Geumhwan Cho von USELab, Korea University für die Unterstützung bedanken.

Find My

Wir möchten uns bei 神罚(@Pwnrin) für die Unterstützung bedanken.

Foundation

Wir möchten uns bei Jann Horn von Project Zero für die Unterstützung bedanken.

Handoff

Wir möchten uns bei Kirin und FlowerCode für die Unterstützung bedanken.

HearingCore

Wir möchten uns bei Kirin@Pwnrin und LFY@secsys von der Fudan University für die Unterstützung bedanken.

ImageIO

Wir möchten uns bei D4m0n für die Unterstützung bedanken.

Kext Management

Wir möchten uns bei Karol Mazurek (@karmaz) von AFINE für die Unterstützung bedanken.

libxpc

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Login Window

Wir möchten uns bei Charles Mangin für die Unterstützung bedanken.

Mail

Wir möchten uns bei Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau von der The Chinese University of Hong Kong, K宝 und LFY@secsys von der Fudan University für die Unterstützung bedanken.

Messages

Wir möchten uns bei parkminchan von der Korea Univ für die Unterstützung bedanken. für die Unterstützung bedanken.

MobileAccessoryUpdater

Wir möchten uns bei Claudio Bozzato und Francesco Benvenuto von Cisco Talos für die Unterstützung bedanken.

Notes

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal, Indien, für die Unterstützung bedanken.

Photos

Wir möchten uns bei Bistrit Dahal für die Unterstützung bedanken.

Quick Look

Wir möchten uns bei Wojciech Regula von SecuRing (wojciechregula.blog), pattern-f (@pattern_F_) für die Unterstützung bedanken.

Safari

Wir möchten uns bei George Bafaloukas (george.bafaloukas@pingidentity.com) und Shri Hunashikatti (sshpro9@gmail.com) für die Unterstützung bedanken.

Safari Downloads

Wir möchten uns bei Koh M. Nakagawa (@tsunek0h) von FFRI Security, Inc. für die Unterstützung bedanken.

Safari Extensions

Wir möchten uns bei Alisha Ukani, Pete Snyder, Alex C. Snoeren für die Unterstützung bedanken.

Sandbox

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Kandji für die Unterstützung bedanken.

SceneKit

Wir möchten uns bei Marc Schoenefeld, Dr. rer. nat. für die Unterstützung bedanken.

Security

Wir möchten uns bei Kevin Jones (GitHub) für die Unterstützung bedanken.

Shortcuts

Wir möchten uns bei Chi Yuan Chang von ZUSO ART und taikosoup und einem anonymen Forscher für die Unterstützung bedanken.

Siri

Wir möchten uns bei Lyutoon für die Unterstützung bedanken.

SMB

Wir möchten uns bei Dave G. von Supernetworks für die Unterstützung danken.

srd_tools

Wir möchten uns bei Joshua van Rijswijk, Michael Ogaga, Hitarth Shah für die Unterstützung bedanken.

System Settings

Wir möchten uns bei Joshua Jewett (@JoshJewett33) für die Unterstützung bedanken.

Talagent

Wir möchten uns bei Morris Richman und einem anonymen Forscher für die Unterstützung bedanken.

Terminal

Wir möchten uns bei Paweł Płatek (Trail of Bits) für die Unterstützung bedanken.

Translations

Wir möchten uns bei K宝(@Pwnrin) für die Unterstützung bedanken.

Weather

Wir möchten uns bei Lyutoon für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Gary Kwong, Junsung Lee, P1umer (@p1umer) und Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang und Daoyuan Wu von HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) von VXRL, Wong Wai Kin, Dongwei Xiao und Shuai Wang von HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) von VXRL., Xiangwei Zhang von Tencent Security YUNDING LAB, 냥냥 und einem anonymen Forscher für die Unterstützung bedanken.