Tietoja macOS Sequoia 15.4:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sequoia 15.4:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Sequoia 15.4

Accessibility

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-24202: Zhongcheng Li (ByteDancen IES Red Team)

AccountPolicy

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-24234: nimetön tutkija

AirDrop

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä lukemaan mielivaltaisten tiedostojen metatietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24097: Ron Masas (BREAKPOINT.SH)

AirPlay

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä paikallisessa verkossa saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-30445: Uri Katz (Oligo Security)

AirPlay

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä ohittamaan todentamiskäytännön.

Kuvaus: valtuutusongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä korruptoimaan järjestelmämuistin.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

Saatavuus: macOS Sequoia

Vaikutus: valtuuttamaton käyttäjä samassa verkossa kuin sisäänkirjautunut Mac saattoi lähettää sille AirPlay-komentoja ilman laiteparin muodostamista.

Kuvaus: käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä paikallisessa verkossa saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

App Store

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-24276: nimetön tutkija

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24272: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2025-24239: Wojciech Regula (SecuRing, wojciechregula.blog)

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä lukemaan suojattuja tiedostoja tai kirjoittamaan niihin.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24233: Claudio Bozzato ja Francesco Benvenuto (Cisco Talos.)

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-30443: Bohdan Stasiuk (@Bohdan_Stasiuk)

Audio

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä ohittamaan ASLR:n.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43205: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24244: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Saatavuus: macOS Sequoia

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24243: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Authentication Services

Saatavuus: macOS Sequoia

Vaikutus: salasanan automaattinen täyttö saattoi täyttää salasanoja todennuksen epäonnistuttua.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-30430: Dominik Rath

Authentication Services

Saatavuus: macOS Sequoia

Vaikutus: haitallinen verkkosivusto saattoi pystyä hakemaan WebAuthn-kirjautumistiedot toiselta verkkosivustolta, jolla on sama rekisteröitävä jälkiliite.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2025-24180: Martin Kreichgauer (Google Chrome)

Authentication Services

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä pääsemään käsiksi käyttäjän tallennettuihin salasanoihin.

Kuvaus: ongelma on ratkaistu lisäämällä viive vahvistuskoodin yritysten väliin.

CVE-2025-24245: Ian Mckay (@iann0036)

Automator

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: Käyttöoikeusongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi ja lisäämällä tarkistuksia.

CVE-2025-30460: nimetön tutkija

BiometricKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CloudKit

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24215: Kirin (@Pwnrin)

CoreAudio

Saatavuus: macOS Sequoia

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Saatavuus: macOS Sequoia

Vaikutus: haitallisen äänitiedoston toistaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-24230: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-31196: wac yhteistyössä Trend Micro Zero Day Initiativen kanssa

CoreMedia

Saatavuus: macOS Sequoia

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24211: Hossein Lotfi (@hosselot, Trend Micron Zero Day Initiative)

CoreMedia

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-24236: Csaba Fitzl (@theevilbit) ja Nolan Astrein (Kandji)

CoreMedia

Saatavuus: macOS Sequoia

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24190: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia Playback

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft) ja nimetön tutkija

CoreText

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-24182: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-31203: Uri Katz (Oligo Security)

Crash Reporter

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2025-24277: Csaba Fitzl (@theevilbit, Kandji), Gergely Kalman (@gergely_kalman) ja nimetön tutkija

curl

Saatavuus: macOS Sequoia

Vaikutus: syötteen vahvistusongelma on korjattu.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-9681

Disk Images

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: tiedostokaranteenin ohittaminen on ratkaistu lisäämällä tarkistuksia.

CVE-2025-31189: nimetön tutkija

Disk Images

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: tiedostojen käyttöön liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-24255: nimetön tutkija

DiskArbitration

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: ongelma on ratkaistu lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2025-30453: Csaba Fitzl (@theevilbit, Kandji) ja nimetön tutkija

DiskArbitration

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2025-30456: Gergely Kalman (@gergely_kalman)

DiskArbitration

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24267: nimetön tutkija

CVE-2025-24258: Csaba Fitzl (@theevilbit, Kandji) ja nimetön tutkija

Dock

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-30455: Mickey Jin (@patch1t) ja nimetön tutkija

Dock

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-31187: Rodolphe BRUNETTI (@eisw0lf, Lupus Nova)

dyld

Saatavuus: macOS Sequoia

Vaikutus: apit, jotka vaikuttavat käyttävän appien eristystä, saattoivat pystyä käynnistymään rajoituksetta.

Kuvaus: kirjaston injektointiin liittyvä ongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-30462: Pietro Francesco Tirenna, Davide Silvetti ja Abdel Adim Oisfi (Shielder, shielder.com)

FaceTime

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2025-30451: Kirin (@Pwnrin) ja luckyu (@uuulucky)

FeedbackLogger

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2025-24281: Rodolphe BRUNETTI (@eisw0lf)

Focus

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-30439: Andr.Ess

Focus

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä järjestelmän leikepöytien eristysrajoituksia.

CVE-2025-30461: nimetön tutkija

Foundation

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen.

CVE-2025-30447: LFY@secsys (Fudan-yliopisto)

Foundation

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: hallitsematon muotoilumerkkijono-ongelma ratkaistiin parantamalla annettujen tietojen varmistamista.

CVE-2025-24199: Manuel Fernandez (Stackhopper Security)

GPU Drivers

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-30464: ABC Research s.r.o.

CVE-2025-24273: Wang Yu (Cyberserval)

GPU Drivers

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2025-24256: nimetön henkilö yhteistyössä Trend Micro Zero Day Initiativen Murray Miken kanssa

Handoff

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla datasäilön käyttöoikeusrajoitusta.

CVE-2025-30463: mzzzz__

iCloud Document Sharing

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä pystyi mahdollisesti ottamaan iCloud-kansion jakamisen käyttöön ilman todentamista.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-30448: Dayton Pidhirney (Atredis Partners) sekä nimimerkit Lyutoon ja YenKoc

ImageIO

Saatavuus: macOS Sequoia

Vaikutus: kuvan jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.

CVE-2025-24210: nimetön henkilö yhteistyössä Trend Micro Zero Day Initiativen kanssa

Installer

Saatavuus: macOS Sequoia

Vaikutus: appi pystyi mahdollisesti tarkistamaan satunnaisen polun olemassaolon tiedostojärjestelmässä.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-24249: YingQi Shi(@Mas0nShi, DBAppSecurity's WeBin lab) ja Minghao Lin (@Y1nKoc)

Installer

Saatavuus: macOS Sequoia

Vaikutus: eristetty appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-24229: nimetön tutkija

IOGPUFamily

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-24257: Wang Yu (Cyberserval)

IOMobileFrameBuffer

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä vioittamaan lisäprosessorin muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-31263: Ye Zhang (@VAR10CK, Baidu Security)

IOMobileFrameBuffer

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä vioittamaan lisäprosessorin muistia.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2025-30437: Ye Zhang (@VAR10CK, Baidu Security)

Kerberos Helper

Saatavuus: macOS Sequoia

Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen tai keon vioittumisen.

Kuvaus: muistinalustusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24235: Dave G. (Supernetworks)

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24204: Koh M. Nakagawa (@tsunek0h, FFRI Security, Inc).

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24203: Ian Beer (Google Project Zero)

Kernel

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä, jolla on käyttäjän oikeudet, saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24196: Joseph Ravichandran (@0xjprx, MIT CSAIL)

LaunchServices

Saatavuus: macOS Sequoia

Vaikutus: haitallinen JAR-tiedosto saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: ongelma on ratkaistu parantamalla suoritettavien tiedostotyyppien käsittelyä.

CVE-2025-24148: Kenneth Chew

libarchive

Saatavuus: macOS Sequoia

Vaikutus: syötteen vahvistusongelma on korjattu.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-48958

Libinfo

Saatavuus: macOS Sequoia

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-24195: Paweł Płatek (Trail of Bits)

libnetcore

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-31231: Wojciech Regula (SecuRing, wojciechregula.blog)

libnetcore

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-24194: nimetön tutkija

libxml2

Saatavuus: macOS Sequoia

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24178: nimetön tutkija

libxpc

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2025-31182: Alex Radocea ja Dave G. (Supernetworks), 风沐云烟(@binary_fmyy) ja Minghao Lin(@Y1nKoc)

libxpc

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-24238: nimetön tutkija

Logging

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft), Alexia Wilson (Microsoft), Christine Fossaceca (Microsoft)

macOS Recovery

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: valtuutusongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-31264: Diamant Osmani ja Valdrin Haliti [Kosovë], dbpeppe (Solitechworld)

Mail

Saatavuus: macOS Sequoia

Vaikutus: Estä kaikki etäsisältö -toiminto ei välttämättä koskenut kaikkien viestien esikateluja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-24172: nimetön tutkija

manpages

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-30450: Pwn2car

Maps

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: polun käsittelyongelma ratkaistiin parantamalla logiikkaa.

CVE-2025-30470: LFY@secsys (Fudan-yliopisto)

NetworkExtension

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-30426: Jimmy

Notes

Saatavuus: macOS Sequoia

Vaikutus: eristetty appi saattaa kyetä käyttämään arkaluontoisia käyttäjätietoja järjestelmälokeissa.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2025-24262: LFY@secsys (Fudan University)

NSDocument

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä käyttämään mielivaltaisia tiedostoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24232: nimetön tutkija

OpenSSH

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla validointia.

CVE-2025-24246: Mickey Jin (@patch1t) ja Csaba Fitzl (@theevilbit, Kandji)

PackageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24261: Mickey Jin (@patch1t)

PackageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-24164: Mickey Jin (@patch1t)

PackageKit

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi, jolla on pääkäyttöoikeudet, saattoi pystyä muokkaamaan järjestelmätiedostojen sisältöä.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-30446: Pedro Tôrres (@t0rr3sp3dr0)

Parental Controls

Saatavuus: macOS Sequoia

Vaikutus: appi saattaa pystyä hakemaan Safarin kirjanmerkkejä ilman oikeustarkistuksia.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-24259: Noah Gregory (wts.dev)

Photos Storage

Saatavuus: macOS Sequoia

Vaikutus: keskustelun poistaminen Viestit-apissa saattoi paljastaa käyttäjän yhteystiedot järjestelmän kirjauksessa.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-30424: nimetön tutkija

Power Services

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-24173: Mickey Jin (@patch1t)

Python

Saatavuus: macOS Sequoia

Vaikutus: etähyökkääjä saattoi pystyä ohittamaan lähettäjän käytäntötarkistukset ja toimittamaan haitallista sisältöä sähköpostitse.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2023-27043

RPAC

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: Ongelma korjattiin parantamalla ympäristömuuttujien validointia.

CVE-2025-24191: Claudio Bozzato ja Francesco Benvenuto (Cisco Talos)

Safari

Saatavuus: macOS Sequoia

Vaikutus: verkkosivusto saattoi pystyä ohittamaan saman alkuperän käytännön.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

Saatavuus: macOS Sequoia

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: ongelma ratkaistiin parantamalla käyttöliittymää.

CVE-2025-24113: @RenwaX23

Safari

Saatavuus: macOS Sequoia

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-30467: @RenwaX23

Safari

Saatavuus: macOS Sequoia

Vaikutus: Verkkosivusto saattoi pystyä käyttämään tunnistintietoja ilman käyttäjän lupaa.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31192: Jaydev Ahire

Safari

Saatavuus: macOS Sequoia

Vaikutus: latauksen alkuperä saatettiin liittää virheellisesti.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24167: Syarif Muhammad Sajjad

Sandbox

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään siirrettäviä taltioita ilman käyttäjän suostumusta.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Saatavuus: macOS Sequoia

Vaikutus: syötteen vahvistusongelma on korjattu.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-30452: nimetön tutkija

Sandbox

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24181: Arsenii Kostromin (0x3c3e)

SceneKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä lukemaan tiedostoja sen hiekkalaatikon ulkopuolella.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-30458: Mickey Jin (@patch1t)

Security

Saatavuus: macOS Sequoia

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai (Alibaba Group), Luyi Xing (Indianan yliopisto, Bloomington)

Security

Saatavuus: macOS Sequoia

Vaikutus: HTTPS-välipalvelimena toimiva haitallinen appi saattoi päästä käsiksi arkaluonteisiin käyttäjätietoihin.

Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2025-24250: Wojciech Regula (SecuRing, wojciechregula.blog)

Share Sheet

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä ohittamaan järjestelmän ilmoituksen nauhoituksen aloittamisesta lukitulla näytöllä.

Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2025-30438: Halle Winkler (Politepix, theoffcuts.org)

Shortcuts

Saatavuus: macOS Sequoia

Vaikutus: pikakomento saattoi pystyä ohittamaan arkaluontoisia Pikakomennot-apin asetuksia.

Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.

CVE-2025-43184: Csaba Fitzl (@theevilbit, Kandji)

Shortcuts

Saatavuus: macOS Sequoia

Vaikutus: pikakomento saattoi pystyä käyttämään tiedostoja, jotka eivät ole yleensä Pikakomennot-apin käytettävissä.

Kuvaus: käyttöoikeusongelma on ratkaistu parantamalla validointia.

CVE-2025-30465: nimetön tutkija

Shortcuts

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-24280: Kirin (@Pwnrin)

Shortcuts

Saatavuus: macOS Sequoia

Vaikutus: pikavalinta voidaan suorittaa ylläpitäjän oikeuksilla ilman todennusta.

Kuvaus: valtuutusongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-31194: Dolf Hoegaerts, Michiel Devliegere

Shortcuts

Saatavuus: macOS Sequoia

Vaikutus: pikakomento saattoi pystyä käyttämään tiedostoja, jotka eivät ole yleensä Pikakomennot-apin käytettävissä.

Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2025-30433: Andrew James Gonzalez

Siri

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla datasäilön käyttöoikeusrajoitusta.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Saatavuus: macOS Sequoia

Vaikutus: eristetty appi saattaa kyetä käyttämään arkaluontoisia käyttäjätietoja järjestelmälokeissa.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2025-30435: K宝 (@Pwnrin) ja luckyu (@uuulucky)

Siri

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu jättämällä tekstikenttien sisältö kirjaamatta.

CVE-2025-24214: Kirin (@Pwnrin)

Siri

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä luetteloimaan laitteet, joilla on kirjauduttu käyttäjän Apple-tilille.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24248: Minghao Lin (@Y1nKoc), Tong Liu@Lyutoon_, 风(binary_fmyy) ja F00L

Siri

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2025-24205: YingQi Shi(@Mas0nShi, DBAppSecurity's WeBin lab) ja Minghao Lin (@Y1nKoc)

Siri

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2025-24198: Richard Hyunho Im (@richeeta) yhteistyössä routezero.securityn kanssa

SMB

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24269: Alex Radocea (Supernetworks)

SMB

Saatavuus: macOS Sequoia

Vaikutus: haitallisen jaetun SMB-verkkoresurssin käyttöönotto saattaa johtaa järjestelmän kaatumiseen.

Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2025-30444: Dave G. (Supernetworks)

SMB

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24228: Joseph Ravichandran (@0xjprx, MIT CSAIL)

smbx

Saatavuus: macOS Sequoia

Vaikutus: etuoikeutetussa asemassa ollut hyökkääjä saattoi pystyä toteuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24260: zbleet (QI-ANXIN TianGong Team)

Software Update

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-30442: nimetön tutkija

Software Update

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: kirjaston injektointiin liittyvä ongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24282: Claudio Bozzato ja Francesco Benvenuto (Cisco Talos)

Software Update

Saatavuus: macOS Sequoia

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-24254: Arsenii Kostromin (0x3c3e)

Software Update

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24231: Claudio Bozzato ja Francesco Benvenuto (Cisco Talos)

StickerKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä tarkastelemaan suojaamattomia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu siirtämällä arkaluonteiset tiedot suojattuun sijaintiin.

CVE-2025-24263: Cristian Dinca (Tudor Vianu, National High School of Computer Science, Romania)

Storage Management

Saatavuus: macOS Sequoia

Vaikutus: appi saattaa pystyä ottamaan iCloudin tallennusominaisuuksia käyttöön ilman käyttäjän suostumusta.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24207: YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab), 风沐云烟 (binary_fmyy) ja Minghao Lin (@Y1nKoc)

StorageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-31261: Mickey Jin (@patch1t)

StorageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-30449: Arsenii Kostromin (0x3c3e) ja nimetön tutkija

StorageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2025-24253: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit, Kandji)

StorageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2025-24240: Mickey Jin (@patch1t)

StorageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2025-31188: Mickey Jin (@patch1t)

Summarization Services

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2025-24218: Kirin ja FlowerCode, Bohdan Stasiuk (@bohdan_stasiuk)

System Settings

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-24278: Zhongquan Li (@Guluisacat)

System Settings

Saatavuus: macOS Sequoia

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2025-24242: Koh M. Nakagawa (@tsunek0h, FFRI Security, Inc).

SystemMigration

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä luomaan symbolisia linkkejä levyn suojattuihin osiin.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-30457: Mickey Jin (@patch1t)

TCC

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.

CVE-2025-31195: Pedro José Pereira Vieito (@pvieito / pvieito.com) ja nimetön tutkija

Voice Control

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään yhteystietoja.

Kuvaus: ongelma on ratkaistu parantamalla tiedostojen käsittelyä.

CVE-2025-24279: Mickey Jin (@patch1t)

Web Extensions

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääsyn lähiverkkoon luvattomasti.

Kuvaus: ongelma on ratkaistu parantamalla lupien tarkistusta.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze, SEEMOO, TU Darmstadt), Mathy Vanhoef (@vanhoefm) ja Jeroen Robben (@RobbenJeroen, DistriNet, KU Leuven)

Web Extensions

Saatavuus: macOS Sequoia

Vaikutus: verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.

Kuvaus: komentosarjan tuontiongelma on ratkaistu parantamalla eristystä.

CVE-2025-24192: Vsevolod Kokorin (Slonser, Solidlab)

WebKit

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24264: Gary Kwong ja nimetön tutkija

CVE-2025-24216: Paul Bakker (ParagonERP)

WebKit

Saatavuus: macOS Sequoia

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24209: Francisco Alonso (@revskills) ja nimetön tutkija

WebKit

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Saatavuus: macOS Sequoia

Vaikutus: haitallinen sivusto saattoi pystyä seuraamaan käyttäjän toimia Safarin yksityisessä selaustilassa.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-30425: nimetön tutkija

WindowServer

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24247: PixiePoint Security

WindowServer

Saatavuus: macOS Sequoia

Vaikutus: appi saattaa huijata käyttäjän kopioimaan arkaluonteisia tietoja leikepöydälle.

Kuvaus: Määritysongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24241: Andreas Hegenberg (folivora.AI GmbH)

Xsan

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2025-24266: nimetön tutkija

Xsan

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-24265: nimetön tutkija

Xsan

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24157: nimetön tutkija

zip

Saatavuus: macOS Sequoia

Vaikutus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-31198: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft)

Kiitokset

Accounts

Haluamme kiittää avusta Bohdan Stasiukia (@bohdan_stasiuk).

AirPlay

Haluamme kiittää avusta Uri Katzia (Oligo Security).

Analytics

Haluamme kiittää YingQi Shitä (@Mas0nShi, DBAppSecurity's WeBin lab) ja Minghao Liniä (@Y1nKoc) heidän avustaan.

AppKit

Haluamme kiittää avusta Tayloria (Osintedx) ja Mcrichia (Morris Richman).

Apple Account

Haluamme kiittää avusta Byron Fechoa.

AppleMobileFileIntegrity

Haluamme kiittää Jeffrey Hofmannia hänen avustaan.

FaceTime

Haluamme kiittää avusta nimetöntä, Dohyun Leetä (@l33d0hyun, USELab, Korea University), Youngho Choita (CEL, Korea University) ja Geumhwan Chota (USELab, Korea University).

Find My

Haluamme kiittää avusta henkilöä 神罚(@Pwnrin).

Foundation

Haluamme kiittää Project Zeron Jann Hornia hänen avustaan.

Handoff

Haluamme kiittää avusta Kiriniä ja FlowerCodea.

HearingCore

Haluamme kiittää avusta Kiriniä (@Pwnrin) ja nimimerkkiä LFY@secsys (Fudan-yliopisto).

ImageIO

Haluamme kiittää avusta D4m0nia.

Kext Management

Haluamme kiittää Karol Mazurekia (@karmaz, AFINE) hänen avustaan.

libxpc

Haluamme kiittää avusta nimetöntä tutkijaa.

Login Window

Haluamme kiittää Charles Manginia hänen avustaan.

Mail

Haluamme kiittää avusta Doria Tangia, Ka Lok Wuta, Prof. Sze Yiu Chauta (Hongkongin kiinalainen yliopisto), henkilöitä K宝 ja LFY@secsys (Fudan-yliopisto).

Messages

Haluamme kiittää avusta parkminchania (Korean yliopisto).  

MobileAccessoryUpdater

Haluamme kiittää Claudio Bozzatoa ja Francesco Benvenutoa (Cisco Talos) heidän avustaan.

Notes

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).

Photos

Haluamme kiittää avusta Bistrit Dahalia.

Quick Look

Haluamme kiittää Wojciech Regulaa (SecuRing, wojciechregula.blog) ja pattern-f:ää (@pattern_F_) heidän avustaan.

Safari

Haluamme kiittää avusta George Bafaloukasia (george.bafaloukas@pingidentity.com) ja Shri Hunashikattia (sshpro9@gmail.com).

Safari Downloads

Haluamme kiittää avusta Koh M. Nakagawaa (@tsunek0h, FFRI Security, Inc.).

Safari Extensions

Haluamme kiittää avusta Alisha Ukania, Pete Snyderia ja Alex C. Snoerenia.

Sandbox

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.

SceneKit

Haluamme kiittää nat. Marc Schoenefeldia  

Security

Haluamme kiittää avusta Kevin Jonesia (GitHub).

Shortcuts

Haluamme kiittää avusta Chi Yuan Changia (ZUSO ART) ja nimimerkkiä taikosoup sekä nimetöntä tutkijaa.

Siri

Haluamme kiittää avusta Lyutoonia.

SMB

Haluamme kiittää Dave G:tä (Supernetworks) hänen antamastaan avusta.

srd_tools

Haluamme kiittää avusta Joshua van Rijswijkiä, Micheal Ogagaa ja Hitarth Shahia.

System Settings

Haluamme kiittää Joshua Jewettiä (@JoshJewett33) hänen avustaan.

Talagent

Haluamme kiittää avusta Morris Richmania ja nimetöntä tutkijaa.

Terminal

Haluamme kiittää avusta Paweł Płatekia (Trail of Bits).

Translations

Haluamme kiittää nimimerkkiä K宝 (@Pwnrin) hänen antamastaan avusta.

Weather

Haluamme kiittää avusta Lyutoonia.

WebKit

Haluamme kiittää Gary Kwongia, Junsung Leetä, P1umeria (@p1umer) ja Q1IQ:ta (@q1iqF), Wai Kin Wongia, Dongwei Xiaota, Shuai Wangia ja Daoyuan Wuta (HKUST Cybersecurity Lab), Anthony Laita (@darkfloyd1014, VXRL), Wong Wai Kinia, Dongwei Xiaota ja Shuai Wangia (HKUST Cybersecurity Lab), Anthony Laita (@darkfloyd1014, VXRL.), Xiangwei Zhangia (Tencent Security YUNDING LAB, 냥냥) ja nimetöntä tutkijaa heidän avustaan.