Tietoja macOS Sequoia 15.6:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sequoia 15.6:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Sequoia 15.6

Admin Framework

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-43191: Ryan Dowd (@_rdowd)

afclip

Saatavuus: macOS Sequoia

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43186: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

AMD

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2025-43244: ABC Research s.r.o.

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-31243: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä käynnistämään mielivaltaisia binaaritiedostoja luotetussa laitteessa.

Kuvaus: Ongelma on ratkaistu parantamalla annettujen tietojen tarkistamista.

CVE-2025-43253: Noah Gregory (wts.dev)

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-43249: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2025-43248: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2025-43245: Mickey Jin (@patch1t)

Archive Utility

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2025-43257: Mickey Jin (@patch1t)

CFNetwork

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: use-after-free-ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-43222: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

CFNetwork

Saatavuus: macOS Sequoia

Vaikutus: käyttäjä saattoi pystyä muuttamaan rajoitettuja verkkoasetuksia ilman asianmukaisia käyttöoikeuksia.

Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2025-43223: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

copyfile

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-43220: Mickey Jin (@patch1t)

Core Services

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-43199: Gergely Kalman (@gergely_kalman), nimetön tutkija

CoreAudio

Saatavuus: macOS Sequoia

Vaikutus: haitallisen äänitiedoston käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43277: Googlen Threat Analysis Group

CoreMedia

Saatavuus: macOS Sequoia

Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-43273: Seo Hyun-gyu (@wh1te4ever), Dora Orak, Minghao Lin (@Y1nKoc), XiLong Zhang (@Resery4, Xiaomi), noir (@ROIS) ja fmyy (@风沐云烟)

CoreMedia

Saatavuus: macOS Sequoia

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43210: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia Playback

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2025-43230: Chi Yuan Chang (ZUSO ART ja taikosoup)

CoreServices

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Ympäristömuuttujien käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2025-43195: 风沐云烟 (@binary_fmyy) ja Minghao Lin (@Y1nKoc)

Directory Utility

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla validointia.

CVE-2025-43267: Mickey Jin (@patch1t)

Disk Images

Saatavuus: macOS Sequoia

Vaikutus: hdiutil-komennon suorittaminen saattoi odottamatta suorittaa mielivaltaista koodia.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-43187: 风沐云烟 (@binary_fmyy) ja Minghao Lin (@Y1nKoc)

DiskArbitration

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43188: nimetön tutkija

Dock

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-43198: Mickey Jin (@patch1t)

file

Saatavuus: macOS Sequoia

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43254: 2ourc3 | Salim Largo

File Bookmark

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-43261: nimetön tutkija

Find My

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-31279: Dawuge (Shuffle Team)

GPU Drivers

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43255: nimetön henkilö yhteistyössä Trend Micro Zero Day Initiativen kanssa

CVE-2025-43284: nimetön tutkija yhteistyössä Trend Micro Zero Day Initiativen kanssa

ICU

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43209: Gary Kwong yhteistyössä Trend Micro Zero Day Initiativen kanssa

ImageIO

Saatavuus: macOS Sequoia

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43226

Kernel

Saatavuus: macOS Sequoia

Vaikutus: suojattu iCloud-lähetys ei ehkä aktivoitunut, jos useita käyttäjiä oli kirjautuneena sisään samanaikaisesti.

Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.

CVE-2025-43276: Willey Lin

Kernel

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43268: Gergely Kalman (@gergely_kalman), Arsenii Kostromin (0x3c3e)

libnetcore

Saatavuus: macOS Sequoia

Vaikutus: Tiedoston käsitteleminen saattoi aiheuttaa muistin korruptoitumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43202: Brian Carpenter

libxml2

Saatavuus: macOS Sequoia

Vaikutus: Tiedoston käsitteleminen saattoi aiheuttaa muistin korruptoitumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä osoitteesta cve.org.

CVE-2025-7425: Sergei Glazunov (Google Project Zero)

libxpc

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-43196: nimetön tutkija

libxslt

Saatavuus: macOS Sequoia

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-7424: Ivan Fratric (Google Project Zero)

Managed Configuration

Saatavuus: macOS Sequoia

Vaikutus: tiliin perustuva käyttäjärekisteröinti saattoi olla edelleen mahdollista, vaikka sulkutila oli päällä.

Kuvaus: Määritysongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43192: Pyrophoria

MediaRemote

Saatavuus: macOS Sequoia

Vaikutus: eristetty prosessi saattoi pystyä käynnistämään minkä tahansa asennetun apin.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-31275: Dora Orak

Metal

Saatavuus: macOS Sequoia

Vaikutus: haitallisen tekstuurin käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-43234: Vlad Stolyarov (Googlen Threat Analysis Group)

Model I/O

Saatavuus: macOS Sequoia

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43264: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2025-43219: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Model I/O

Saatavuus: macOS Sequoia

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla muistin käsittelyä.

CVE-2025-31281: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Model I/O

Saatavuus: macOS Sequoia

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43224: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2025-43221: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Model I/O

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2025-31280: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Model I/O

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43218: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Model I/O

Saatavuus: macOS Sequoia

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-43215: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

NetAuth

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2025-43275: Csaba Fitzl (@theevilbit, Kandji)

Notes

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääsyn lähiverkkoon luvattomasti.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-43270: Minqiang Gui

Notes

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-43225: Kirin (@Pwnrin)

NSSpellChecker

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43266: Noah Gregory (wts.dev)

PackageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä kaappaamaan muille luottamuksellisille apeille myönnettyjä oikeuksia.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2025-43260: Zhongquan Li (@Guluisacat)

PackageKit

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi, jolla on pääkäyttöoikeudet, saattoi pystyä muokkaamaan järjestelmätiedostojen sisältöä.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43247: Mickey Jin (@patch1t)

PackageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-43194: Mickey Jin (@patch1t)

PackageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43232: Koh M. Nakagawa (@tsunek0h), Csaba Fitzl (@theevilbit, Kandji) ja Gergely Kalman (@gergely_kalman)

Power Management

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43236: Dawuge (Shuffle Team)

Power Management

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43235: Dawuge (Shuffle Team)

RemoteViewServices

Saatavuus: macOS Sequoia

Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-43274: nimetön tutkija, Hikerell (Loadshine Lab), @zlluny

Safari

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-24188: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

SceneKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä lukemaan tiedostoja sen hiekkalaatikon ulkopuolella.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43241: Mickey Jin (@patch1t)

Security

Saatavuus: macOS Sequoia

Vaikutus: HTTPS-välipalvelimena toimiva haitallinen appi saattoi päästä käsiksi arkaluonteisiin käyttäjätietoihin.

Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2025-43233: Wojciech Regula (SecuRing, wojciechregula.blog)

SecurityAgent

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43193: Dawuge (Shuffle Team)

SharedFileList

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-43250: Mickey Jin (@patch1t), Yuebin Sun (@yuebinsun2020)

Single Sign-On

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-43197: Shang-De Jiang ja Kazma Ye (CyCraft Technology)

sips

Saatavuus: macOS Sequoia

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43239: Nikolai Skliarenko (Trend Micro Zero Day Initiative)

Software Update

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43243: Keith Yeo (@kyeojy, Team Orca of Sea Security), Mickey Jin (@patch1t)

Spotlight

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-43246: Mickey Jin (@patch1t)

StorageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-43256: nimetön tutkija

System Settings

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2025-43206: Zhongquan Li (@Guluisacat)

User Management

Saatavuus: macOS Sequoia

Vaikutus: paikallinen hyökkääjä saattoi saada pääsyn avainnipun kohteisiin.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2025-43251: Mickey Jin (@patch1t)

Voice Control

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2025-43185: Mickey Jin (@patch1t)

WebContentFilter

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä lukemaan kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43189: nimetön tutkija

WebContentFilter

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43237: nimetön tutkija

WebKit

Saatavuus: macOS Sequoia

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-43229: Martin Bajanik (Fingerprint), Ammar Askar

WebKit

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-43227: Gilad Moav

WebKit

Saatavuus: macOS Sequoia

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu ja Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu ja Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu ja Xiaojie Wei

WebKit

Saatavuus: macOS Sequoia

Vaikutus: latauksen alkuperä saatettiin liittää virheellisesti.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-43240: Syarif Muhammad Sajjad

WebKit

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43214: shandikri yhteistyössä Trend Micro Zero Day Initiativen kanssa, Google V8 Security Team

CVE-2025-43213: Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) ja Ziling Chen

WebKit

Saatavuus: macOS Sequoia

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu ja Xiaojie Wei

WebKit

Saatavuus: macOS Sequoia

Vaikutus: haitallisen verkkosisällön käsittely saattoi paljastaa apin sisäisen tilan.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43265: HexRabbit (@h3xr4bb1t, DEVCORE Research Team)

WebKit

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Saatavuus: macOS Sequoia

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä osoitteesta cve.org.

CVE-2025-6558: Clément Lecigne ja Vlad Stolyarov (Googlen Threat Analysis Group)

WindowServer

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2025-43259: Martti Hütt

Xsan

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-43238: nimetön tutkija

zip

Saatavuus: macOS Sequoia

Vaikutus: verkkosivusto saattoi saada pääsyn arkaluontoisiin käyttäjätietoihin ratkaistessaan symbolisia linkkejä.

Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.

CVE-2025-43252: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft)

Kiitokset

AppleMobileFileIntegrity

Haluamme kiittää avusta Mickey Jiniä (@patch1t).

Bluetooth

Haluamme kiittää avusta Lidong Litä, Xiao Wangia, Shao Dong Cheniä ja Chao Tania (Source Guard).

Control Center

Haluamme kiittää avusta nimetöntä tutkijaa.

CoreAudio

Haluamme kiittää avusta @zllunyä, Noah Weinbergiä.

CoreUtils

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.

Device Management

Haluamme kiittää avusta Al Karakia.

Find My

Haluamme kiittää avusta Christian Kohlschütteria.

Game Center

Haluamme kiittää avusta YingQi Shitä (@Mas0nShi, DBAppSecurity's WeBin lab).

IOMobileFrameBuffer

Haluamme kiittää avusta Karol Mazurekia (@Karmaz95, AFINE).

Kernel

Haluamme kiittää avusta Karol Mazurekia (@Karmaz95, AFINE).

libxml2

Haluamme kiittää avusta Sergei Glazunovia (Google Project Zero).

libxslt

Haluamme kiittää Ivan Fratricia (Google Project Zero) hänen avustaan.

Safari

Haluamme kiittää avusta Ameen Basha M K:ta.

Shortcuts

Haluamme kiittää avusta Dennis Kniepiä.

WebDAV

Haluamme kiittää avusta Christian Kohlschütteria.

WebKit

Haluamme kiittää avusta Google V8 Security Teamia, Yuhao Huta, Yan Kangia, Chenggang Wuta ja Xiaojie Weitä sekä rhezaa (@ginggilBesel)