Tietoja macOS Tahoe 26.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Tahoe 26.1:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Tahoe 26.1

Admin Framework

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-43471: Gergely Kalman (@gergely_kalman)

Admin Framework

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-43322: Ryan Dowd (@_rdowd)

Apple Account

Saatavuus: macOS Tahoe

Vaikutus: haitallinen appi saattoi pystyä ottamaan näyttökuvan arkaluontoisista tiedoista upotetuissa näkymissä.

Kuvaus: tietosuojaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-43455: Ron Masas (BreakPoint.SH), Pinak Oza

Apple Neural Engine

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43447: nimetön tutkija

CVE-2025-43462: nimetön tutkija

AppleMobileFileIntegrity

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2025-43390: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla validointia.

CVE-2025-43388: Mickey Jin (@patch1t)

CVE-2025-43466: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2025-43382: Gergely Kalman (@gergely_kalman)

AppleMobileFileIntegrity

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2025-43468: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

AppleMobileFileIntegrity

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43378: nimetön tutkija

ASP TCP

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-43478: Joseph Ravichandran (@0xjprx, MIT CSAIL), Dave G. (supernetworks.org)

Assets

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2025-43407: JZ

Assets

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-43446: Zhongcheng Li (ByteDancen IES Red Team)

ATS

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2025-43465: nimetön tutkija

Audio

Saatavuus: macOS Tahoe

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukitsemattomaan, Macin kanssa pariksi liitettyyn laitteeseen, saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja järjestelmän kirjauksessa.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-43423: Duy Trần (@khanhduytran0)

BackBoardServices

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-43497: nimetön tutkija

bootp

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2025-43394: Csaba Fitzl (@theevilbit, Kandji)

CloudKit

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-43448: Hikerell (Loadshine Lab)

configd

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2025-43395: Csaba Fitzl (@theevilbit, Kandji)

configd

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-43461: Csaba Fitzl (@theevilbit, Kandji)

Yhteystiedot

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-43426: Wojciech Regula (SecuRing, wojciechregula.blog)

CoreAnimation

Saatavuus: macOS Tahoe

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.

CVE-2025-43401: 이동하 (BoB 14th:n Lee Dong Ha), wac yhteistyössä Trend Micro Zero Day Initiativen kanssa

CoreServices

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43479: nimetön tutkija

CoreServices

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43436: Zhongcheng Li (ByteDancen IES Red Team)

CoreServicesUIAgent

Saatavuus: macOS Tahoe

Vaikutus: haitallinen appi saattoi pystyä poistamaan suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2025-43381: Mickey Jin (@patch1t)

CoreText

Saatavuus: macOS Tahoe

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43445: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Disk Images

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-43481: Adwiteeya Agrawal, Mickey Jin (@patch1t), Kenneth Chew, nimetön tutkija

DiskArbitration

Saatavuus: macOS Tahoe

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43387: nimetön tutkija

Dock

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2025-43420: Rodolphe BRUNETTI (@eisw0lf, Lupus Nova)

dyld

Saatavuus: macOS Tahoe

Vaikutus: verkkosivustolla käynti saattoi aiheuttaa apin palveluneston.

Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2025-43464: Duy Trần (@khanhduytran0), @EthanArbuckle

FileProvider

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2025-43498: pattern-f (@pattern_F_)

Etsi

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: tietosuojaongelma on ratkaistu siirtämällä arkaluontoisia tietoja.

CVE-2025-43507: iisBuri

Finder

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2025-43348: Ferdous Saljooki (@malwarezoo, Jamf)

GPU Drivers

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43474: Murray Mike

Installer

Saatavuus: macOS Tahoe

Vaikutus: eristetty appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-43396: nimetön tutkija

Installer

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43444: Zhongcheng Li (ByteDancen IES Red Team)

Installer

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-43467: Mickey Jin (@patch1t)

Kernel

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Saatavuus: macOS Tahoe

Vaikutus: eristetty appi saattoi pystyä tarkastelemaan järjestelmänlaajuisia verkkoyhteyksiä.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-43413: Dave G. ja Alex Radocea (supernetworks.org)

Mail Drafts

Saatavuus: macOS Tahoe

Vaikutus: etäsisältöä on ehkä voitu ladata, vaikka Lataa etäkuvat ‑asetus on ollut pois käytöstä

Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti, @Xpl0itme (Khatima)

Model I/O

Saatavuus: macOS Tahoe

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43386: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2025-43385: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2025-43384: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2025-43383: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Model I/O

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43377: BynarIO AI (bynar.io)

Multi-Touch

Saatavuus: macOS Tahoe

Vaikutus: haitallinen HID-laite saattoi aiheuttaa prosessin kaatumisen odottamattomasti.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2025-43424: Google Threat Analysis Group

NetFSFramework

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2025-43364: Csaba Fitzl (@theevilbit, Kandji)

Networking

Saatavuus: macOS Tahoe

Vaikutus: suojattu iCloud-lähetys ei ehkä aktivoitunut, jos useita käyttäjiä oli kirjautuneena sisään samanaikaisesti.

Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.

CVE-2025-43506: Doug Hogan

Notes

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-43389: Kirin (@Pwnrin)

NSSpellChecker

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43469: Mickey Jin (@patch1t)

PackageKit

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-43411: nimetön tutkija

Kuvat

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-43405: nimetön tutkija

Kuvat

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2025-43391: Asaf Cohen

quarantine

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-43393: nimetön tutkija

Ruby

Saatavuus: macOS Tahoe

Vaikutus: rubyssa esiintyi useita ongelmia.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-43398

CVE-2024-49761

CVE-2025-6442

Safari

Saatavuus: macOS Tahoe

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-43493: @RenwaX23

Safari

Saatavuus: macOS Tahoe

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2025-43503: @RenwaX23

Safari

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2025-43502: nimetön tutkija

Sandbox

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2025-43406: Zhongquan Li (@Guluisacat)

Sandbox

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-43404: Zhongquan Li (@Guluisacat)

Sandbox Profiles

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla käyttäjän asetusten käsittelyä.

CVE-2025-43500: Stanislav Jelezoglo

Tietoturva

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.

CVE-2025-43335: Csaba Fitzl (@theevilbit, Kandji)

Share Sheet

Saatavuus: macOS Tahoe

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy, saattoi pystyä käyttämään yhteystietoja lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2025-43408: Vivek Dhar, ASI (RM, Border Security Force, FTR HQ BSF Kashmir)

SharedFileList

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43476: Mickey Jin (@patch1t)

Shortcuts

Saatavuus: macOS Tahoe

Vaikutus: pikakomento saattoi pystyä käyttämään tiedostoja, jotka eivät ole yleensä Pikakomennot-apin käytettävissä.

Kuvaus: käyttöoikeusongelma on ratkaistu parantamalla validointia.

CVE-2025-30465: nimetön tutkija

CVE-2025-43414: nimetön tutkija

Shortcuts

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-43473: Kirin (@Pwnrin)

Shortcuts

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-43499: nimetön tutkija

sips

Saatavuus: macOS Tahoe

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43380: Nikolai Skliarenko (Trend Micro Zero Day Initiative)

Siri

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2025-43477: Kirin (@Pwnrin)

Siri

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2025-43399: Cristian Dinca (icmd.tech), Kirin (@Pwnrin)

SoftwareUpdate

Saatavuus: macOS Tahoe

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43336: Rodolphe BRUNETTI (@eisw0lf, Lupus Nova)

SoftwareUpdate

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: käyttöoikeusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-43397: Csaba Fitzl (@theevilbit, Kandji)

Spotlight

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-43409: nimetön tutkija, Kirin (@Pwnrin), Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft)

StorageKit

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43351: Rodolphe BRUNETTI (@eisw0lf, Lupus Nova)

StorageKit

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2025-43463: Amy (@asentientbot), Mickey Jin (@patch1t)

sudo

Saatavuus: macOS Tahoe

Vaikutus: hyökkääjä, jolla oli isännöintiin rajoittuvat sudo-käyttöoikeudet, saattoi pystyä hankkimaan laajemmat käyttöoikeudet tietyissä määrityksissä.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-32462

sudo

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-43334: Gergely Kalman (@gergely_kalman)

TCC

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: tiedostokaranteenin ohittaminen on ratkaistu lisäämällä tarkistuksia.

CVE-2025-43412: Mickey Jin (@patch1t)

Vim

Saatavuus: macOS Tahoe

Vaikutus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-53906

WebKit

Saatavuus: macOS Tahoe

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-43480: Aleksejs Popovs

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-43443: nimetön tutkija

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen (Google)

CVE-2025-43425: nimetön tutkija

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Saatavuus: macOS Tahoe

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-43438: shandikri yhteistyössä Trend Micro Zero Day Initiativen kanssa

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CVE-2025-43434: Google Big Sleep

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-43432: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2025-43429: Google Big Sleep

WebKit

Saatavuus: macOS Tahoe

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Vaikutus: useita ongelmia ratkaistiin poistamalla taulun varausten siirrot.

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Saatavuus: macOS Tahoe

Vaikutus: verkkosivusto saattoi vuotaa kuvatietoja eri alkuperien kesken.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2025-43392: Tom Van Goethem

Wi-Fi

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43373: Wang Yu (Cyberserval)

WindowServer

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43402: @cloudlldb (@pixiepointsec)

zsh

Saatavuus: macOS Tahoe

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2025-43472: Morris Richman (@morrisinlife)

Kiitokset

CoreGraphics

Haluamme kiittää avusta Vincent Heinenia.

Mail

Haluamme kiittää avusta nimetöntä tutkijaa.

MobileInstallation

Haluamme kiittää avusta Bubble Zhangia.

Muistutukset

Haluamme kiittää avusta IES Red Teamia (ByteDance).

Safari

Haluamme kiittää avusta Barath Stalin K:ta.

Safari Downloads

Haluamme kiittää avusta Saello Puzaa.

Tietoturva

Haluamme kiittää avusta JC Alvaradoa.

Shortcuts

Haluamme kiittää avusta BanKaita, Benjamin Hornbeckiä, Chi Yuan Changia (ZUSO ART) ja taikosoupia, Ryan May’ta, Andrew James Gonzalezia ja nimetöntä tutkijaa.

sips

Haluamme kiittää avusta Nabih Benazzouzia (Fuzzinglabs) ja Patrick Ventuzeloa (Fuzzinglabs).

Terminal

Haluamme kiittää avusta Johann Rehbergeriä.

WebKit

Haluamme kiittää avusta Enis Mahollia (enismaholli.com, Google Big Sleep).

WindowServer

Haluamme kiittää avusta käyttäjää @cloudlldb (@pixiepointsec).