Tietoja macOS Sonoma 14.7.6:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sonoma 14.7.6:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Sonoma 14.7.6

Julkaistu 12.5.2025

afpfs

Saatavuus: macOS Sonoma

Vaikutus: yhteyden muodostus haitalliseen AFP-palvelimeen saattoi vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-31246: Joseph Ravichandran (@0xjprx, MIT CSAIL)

afpfs

Saatavuus: macOS Sonoma

Vaikutus: haitallisen AFP-verkkoresurssin käyttöönotto saattoi johtaa järjestelmän kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-31240: Dave G.

CVE-2025-31237: Dave G.

AppleJPEG

Saatavuus: macOS Sonoma

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-31251: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31235: Google Project Zeron parissa työskentelevä Dillon Franke

CoreAudio

Saatavuus: macOS Sonoma

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31208: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

Saatavuus: macOS Sonoma

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-31196: Trend Micro Zero Day Initiativen parissa työskentelevä wac

CoreGraphics

Saatavuus: macOS Sonoma

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-31209: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

Saatavuus: macOS Sonoma

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31239: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

Saatavuus: macOS Sonoma

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-31233: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

DiskArbitration

Saatavuus: macOS Sonoma

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: ongelma on ratkaistu lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2025-30453: Csaba Fitzl (@theevilbit, Kandji), nimetön tutkija

DiskArbitration

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24258: Csaba Fitzl (@theevilbit, Kandji), nimetön tutkija

iCloud Document Sharing

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä laittamaan päälle iCloud-kansion jakamisen ilman todentautumista.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-30448: Lyutoon ja YenKoc sekä Dayton Pidhirney (Atredis Partners)

Installer

Saatavuus: macOS Sonoma

Vaikutus: eristetty appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-31232: nimetön tutkija

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-31219: Michael DePlante (@izobashi) ja Lucas Leong (@_wmliang_, Trend Micro Zero Day Initiative)

Kernel

Saatavuus: macOS Sonoma

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31241: Christian Kohlschütter

libexpat

Saatavuus: macOS Sonoma

Vaikutus: libexpatissa esiintyi useita ongelmia (esimerkiksi appi saattoi sulkeutua odottamattomasti tai järjestelmässä saatettiin suorittaa mielivaltainen koodi).

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-8176

Libinfo

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä ohittamaan ASLR:n.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-30440: Paweł Płatek (Trail of Bits)

mDNSResponder

Saatavuus: macOS Sonoma

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Mobile Device Service

Saatavuus: macOS Sonoma

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: syötteen vahvistusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-24274: nimetön tutkija

Notification Center

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2025-24142: LFY@secsys (Fudan University)

OpenSSH

Saatavuus: macOS Sonoma

Vaikutus: OpenSSH:ssa oli useita ongelmia.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-26465

CVE-2025-26466

Pro Res

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31245: wac

Sandbox

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-31224: Csaba Fitzl (@theevilbit, Kandji)

Security

Saatavuus: macOS Sonoma

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-31221: Dave G.

Security

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään liitettyjä käyttäjänimiä ja verkkosivustoja käyttäjän iCloud-avainnipusta.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-31213: Kirin (@Pwnrin) ja 7feilee

SharedFileList

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2025-31247: nimetön tutkija

SoftwareUpdate

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-30442: nimetön tutkija

StoreKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2025-31242: Eric Dorphy (Twin Cities App Dev LLC)

Weather

Saatavuus: macOS Sonoma

Vaikutus: haitallinen appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2025-31220: Adam M.

WebContentFilter

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24155: nimetön tutkija

Kiitokset

Kernel

Haluamme kiittää avusta nimetöntä tutkijaa.

Shortcuts

Haluamme kiittää avusta Candace Jenseniä (Kandji), Chi Yuan Changia (ZUSO ART) ja taikosoupia.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: