Tietoja macOS Sequoia 15.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sequoia 15.5:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Sequoia 15.5

afpfs

Saatavuus: macOS Sequoia

Vaikutus: yhteyden muodostus haitalliseen AFP-palvelimeen saattoi vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-31246: Joseph Ravichandran (@0xjprx, MIT CSAIL)

afpfs

Saatavuus: macOS Sequoia

Vaikutus: haitallisen jaetun AFP-verkkoresurssin käyttöönotto saattaa johtaa järjestelmän kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-31240: Dave G.

CVE-2025-31237: Dave G.

Apple Intelligence Reports

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-31260: Thomas Völkl (@vollkorntomate), SEEMOO, TU Darmstadt

AppleJPEG

Saatavuus: macOS Sequoia

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-31251: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31235: Dillon Franke yhteistyössä Google Project Zeron kanssa

BOM

Saatavuus: macOS Sequoia

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24222: Trend Micro Zero Day Initiativen parissa työskentelevä wac

Core Bluetooth

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-31212: Guilherme Rambo (Best Buddy Apps, rambo.codes)

CoreAudio

Saatavuus: macOS Sequoia

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31208: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

Saatavuus: macOS Sequoia

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-31209: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

Saatavuus: macOS Sequoia

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31239: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

Saatavuus: macOS Sequoia

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-31233: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Finder

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietojen paljastumisen ongelma ratkaistiin parantamalla tietosuoja-asetuksia.

CVE-2025-31236: Kirin@Pwnrin ja LFY@secsys (Fudan University)

Found in Apps

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-30443: Bohdan Stasiuk (@Bohdan_Stasiuk)

ImageIO

Saatavuus: macOS Sequoia

Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-31226: Saagar Jha

Installer

Saatavuus: macOS Sequoia

Vaikutus: eristetty appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-31232: nimetön tutkija

Kernel

Saatavuus: macOS Sequoia

Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Saatavuus: macOS Sequoia

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31241: Christian Kohlschütter

Kernel

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-31219: Michael DePlante (@izobashi) ja Lucas Leong (@_wmliang_) (Trend Micro Zero Day Initiative)

libexpat

Saatavuus: macOS Sequoia

Vaikutus: useita libexpat-ongelmia, mukaan lukien apin odottamaton sulkeutuminen tai mielivaltaisen koodin suorittaminen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-8176

Libinfo

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä ohittamaan ASLR:n.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-30440: Paweł Płatek (Trail of Bits)

mDNSResponder

Saatavuus: macOS Sequoia

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Mobile Device Service

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: syötteen vahvistusongelma on ratkaistu poistamalla haavoittuva koodi.

CVE-2025-24274: nimetön tutkija

NetworkExtension

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä tunnistamaan uusien verkkoyhteyksien isäntänimet.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-31218: Adam M.

Notes

Saatavuus: macOS Sequoia

Vaikutus: aktivointikulma saattoi paljastaa yllättäen käyttäjän poistetut muistiinpanot.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2025-31256: Sourabhkumar Mishra

Notification Center

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2025-24142: LFY@secsys (Fudan University)

OpenSSH

Saatavuus: macOS Sequoia

Vaikutus: OpenSSH:ssa oli useita ongelmia.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-26465

CVE-2025-26466

Pro Res

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-31234: CertiK (@CertiK)

Pro Res

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31245: wac

quarantine

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: tiedostokaranteenin ohittaminen on ratkaistu lisäämällä tarkistuksia.

CVE-2025-31244: Csaba Fitzl (@theevilbit, Kandji)

RemoteViewServices

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-31258: nimetön tutkija

Sandbox

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-31249: Ryan Dowd (@_rdowd)

Sandbox

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-31224: Csaba Fitzl (@theevilbit, Kandji)

Security

Saatavuus: macOS Sequoia

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-31221: Dave G.

Security

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään käyttäjän iCloud-avainnippuun liittyviä käyttäjätunnuksia ja verkkosivustoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-31213: Kirin (@Pwnrin) ja nimimerkki 7feilee

SharedFileList

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2025-31247: nimetön tutkija

SoftwareUpdate

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-31259: nimetön tutkija

StoreKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2025-31242: Eric Dorphy (Twin Cities App Dev LLC)

TCC

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietojen paljastumisen ongelma ratkaistiin parantamalla tietosuoja-asetuksia.

CVE-2025-31250: Noah Gregory (wts.dev)

Weather

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2025-31220: Adam M.

WebKit

Saatavuus: macOS Sequoia

Vaikutus: tyyppisekaannusongelma saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla liukulukujen käsittelyä.

CVE-2025-24213: Google V8 Security Team

WebKit

Saatavuus: macOS Sequoia

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31223: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

CVE-2025-31238: wac yhteistyössä Trend Micro Zero Day Initiativen kanssa

WebKit

Saatavuus: macOS Sequoia

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31215: Jiming Wang ja Jikai Ren

WebKit

Saatavuus: macOS Sequoia

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-31204: Nan Wang (@eternalsakura13)

CVE-2025-24223: rheza (@ginggilBesel) ja nimetön tutkija

WebKit

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.

CVE-2025-31206: nimetön tutkija

WebKit

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Saatavuus: macOS Sequoia

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31205: Ivan Fratric (Google Project Zero)

WebKit

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-31257: Juergen Schmied (Lynck GmbH)

Kiitokset

AirDrop

Haluamme kiittää avusta Dalibor Milanovicia.

Foundation

Haluamme kiittää Claudio Bozzatoa ja Francesco Benvenutoa (Cisco Talos) heidän avustaan.

Kernel

Haluamme kiittää avusta nimetöntä tutkijaa.

Mail

Haluamme kiittää avusta IES Red Teamia (ByteDance).

MobileGestalt

Haluamme kiittää avusta nimimerkkiä iisBuri.

NetworkExtension

Haluamme kiittää avusta Andrei-Alexandru Bleorțua ja Dmytro Merkulovia.

Notes

Haluamme kiittää avusta YingQi Shitä (@Mas0nShi, DBAppSecurity's WeBin lab).

Safari

Haluamme kiittää avusta @RenwaX23:a, Akash Labadea, Narendra Bhatia (Manager – Cyber Security, Suma Soft Pvt. Ltd, Pune (Intia)).

Sandbox

Haluamme kiittää avusta Kirin@Pwnrinia ja LFY@secsysia (Fudan University), Tal Lossosia ja Zhongquan Litä (@Guluisacat)

Shortcuts

Haluamme kiittää avusta Candace Jenseniä (Kandji), Chi Yuan Changia (ZUSO ART), taikosoupia, Egor Filatovia (Positive Technologies), Marcio Almeidaa (Tanto Security), Monnier Pascaudia ja Ron Masasia BREAKPOINT.SH).

WebKit

Haluamme kiittää avusta Mike Doughertya ja Daniel Whiteä (Google Chrome) sekä nimetöntä tutkijaa.

XProtect

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.