Tietoja macOS Sonoma 14.7.7:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Sonoma 14.7.7:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
macOS Sonoma 14.7.7
Julkaistu 29.7.2025
Admin Framework
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2025-43191: Ryan Dowd (@_rdowd)
afclip
Saatavuus: macOS Sonoma
Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2025-43186: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
AMD
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2025-43244: ABC Research s.r.o.
AppleMobileFileIntegrity
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-31243: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Sonoma
Vaikutus: haitallinen appi saattoi pystyä käynnistämään mielivaltaisia binaaritiedostoja luotetussa laitteessa.
Kuvaus: Ongelma on ratkaistu parantamalla annettujen tietojen tarkistamista.
CVE-2025-43253: Noah Gregory (wts.dev)
AppleMobileFileIntegrity
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2025-43249: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Sonoma
Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2025-43248: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.
CVE-2025-43245: Mickey Jin (@patch1t)
CFNetwork
Saatavuus: macOS Sonoma
Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.
Kuvaus: use-after-free-ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2025-43222: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)
CFNetwork
Saatavuus: macOS Sonoma
Vaikutus: käyttäjä saattoi pystyä muuttamaan rajoitettuja verkkoasetuksia ilman asianmukaisia käyttöoikeuksia.
Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2025-43223: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)
copyfile
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2025-43220: Mickey Jin (@patch1t)
Core Services
Saatavuus: macOS Sonoma
Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: käyttöoikeusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2025-43199: nimetön tutkija, Gergely Kalman (@gergely_kalman)
CoreMedia
Saatavuus: macOS Sonoma
Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2025-43210: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreServices
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: Ympäristömuuttujien käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2025-43195: 风沐云烟 (@binary_fmyy) ja Minghao Lin (@Y1nKoc)
Disk Images
Saatavuus: macOS Sonoma
Vaikutus: hdiutil-komennon suorittaminen saattoi odottamatta suorittaa mielivaltaista koodia.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2025-43187: 风沐云烟 (@binary_fmyy) ja Minghao Lin (@Y1nKoc)
Dock
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2025-43198: Mickey Jin (@patch1t)
file
Saatavuus: macOS Sonoma
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2025-43254: 2ourc3 | Salim Largo
File Bookmark
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2025-43261: nimetön tutkija
Find My
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-31279: Dawuge (Shuffle Team)
Finder
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2025-24119: nimetön tutkija
GPU Drivers
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2025-43255: nimetön henkilö yhteistyössä Trend Micro Zero Day Initiativen kanssa
CVE-2025-43284: nimetön tutkija yhteistyössä Trend Micro Zero Day Initiativen kanssa
Kohta päivitetty 28.8.2025
ICU
Saatavuus: macOS Sonoma
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2025-43209: Gary Kwong yhteistyössä Trend Micro Zero Day Initiativen kanssa
ImageIO
Saatavuus: macOS Sonoma
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2025-43226
LaunchServices
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2025-24119: nimetön tutkija
libxpc
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2025-43196: nimetön tutkija
libxslt
Saatavuus: macOS Sonoma
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2025-7424: Ivan Fratric (Google Project Zero)
Managed Configuration
Saatavuus: macOS Sonoma
Vaikutus: tiliin perustuva käyttäjärekisteröinti saattoi olla edelleen mahdollista, vaikka sulkutila oli päällä.
Kuvaus: Määritysongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-43192: Pyrophoria
NetAuth
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2025-43275: Csaba Fitzl (@theevilbit, Kandji)
Notes
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada pääsyn lähiverkkoon luvattomasti.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2025-43270: Minqiang Gui
Notes
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.
CVE-2025-43225: Kirin (@Pwnrin)
NSSpellChecker
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-43266: Noah Gregory (wts.dev)
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä kaappaamaan muille luottamuksellisille apeille myönnettyjä oikeuksia.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2025-43260: Zhongquan Li (@Guluisacat)
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: haitallinen appi, jolla on pääkäyttöoikeudet, saattoi pystyä muokkaamaan järjestelmätiedostojen sisältöä.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-43247: Mickey Jin (@patch1t)
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2025-43194: Mickey Jin (@patch1t)
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-43232: Koh M. Nakagawa (@tsunek0h), Csaba Fitzl (@theevilbit, Kandji) ja Gergely Kalman (@gergely_kalman)
Power Management
Saatavuus: macOS Sonoma
Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2025-43236: Dawuge (Shuffle Team)
SceneKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä lukemaan tiedostoja sen hiekkalaatikon ulkopuolella.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-43241: Mickey Jin (@patch1t)
Security
Saatavuus: macOS Sonoma
Vaikutus: HTTPS-välipalvelimena toimiva haitallinen appi saattoi päästä käsiksi arkaluonteisiin käyttäjätietoihin.
Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.
CVE-2025-43233: Wojciech Regula (SecuRing, wojciechregula.blog)
SecurityAgent
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2025-43193: Dawuge (Shuffle Team)
SharedFileList
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2025-43250: Yuebin Sun (@yuebinsun2020), Mickey Jin (@patch1t)
Shortcuts
Saatavuus: macOS Sonoma
Vaikutus: pikakomento saattoi pystyä ohittamaan arkaluontoisia Pikakomennot-apin asetuksia.
Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.
CVE-2025-43184: Csaba Fitzl (@theevilbit, Kandji)
Single Sign-On
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.
CVE-2025-43197: Shang-De Jiang ja Kazma Ye (CyCraft Technology)
sips
Saatavuus: macOS Sonoma
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2025-43239: Nikolai Skliarenko (Trend Micro Zero Day Initiative)
Software Update
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-43243: Mickey Jin (@patch1t) ja Keith Yeo (@kyeojy, Team Orca of Sea Security)
Spotlight
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2025-43246: Mickey Jin (@patch1t)
StorageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2025-43256: nimetön tutkija
System Settings
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.
CVE-2025-43206: Zhongquan Li (@Guluisacat)
WebContentFilter
Saatavuus: macOS Sonoma
Vaikutus: haitallinen appi saattoi pystyä lukemaan kernel-muistia.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2025-43189: nimetön tutkija
WindowServer
Saatavuus: macOS Sonoma
Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.
CVE-2025-43259: Martti Hütt
Xsan
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2025-43238: nimetön tutkija
Kiitokset
CoreAudio
Haluamme kiittää avusta @zllunyä, Noah Weinbergiä.
Device Management
Haluamme kiittää avusta Al Karakia.
Game Center
Haluamme kiittää avusta YingQi Shitä (@Mas0nShi, DBAppSecurity's WeBin lab).
libxslt
Haluamme kiittää Ivan Fratricia (Google Project Zero) hänen avustaan.
Shortcuts
Haluamme kiittää avusta Chi Yuan Changia (ZUSO ART) ja nimimerkkiä taikosoup sekä Dennis Kniepiä.
WebDAV
Haluamme kiittää avusta Christian Kohlschütteria.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.