Tietoja macOS Sonoma 14.8.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sonoma 14.8.2:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Sonoma 14.8.2

Admin Framework

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-43322: Ryan Dowd (@_rdowd)

AppleMobileFileIntegrity

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2025-43468: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

AppleMobileFileIntegrity

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43469: Mickey Jin (@patch1t)

ASP TCP

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-43478: Joseph Ravichandran (@0xjprx, MIT CSAIL) ja Dave G. (supernetworks.org)

Assets

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2025-43407: JZ

Assets

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-43446: Zhongcheng Li (ByteDancen IES Red Team)

Audio

Saatavuus: macOS Sonoma

Vaikutus: haitallinen appi saattoi pystyä lukemaan kernel-muistia.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43361: Michael Reeves (@IntegralPilot)

bash

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2025-43472: Morris Richman (@morrisinlife)

bootp

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2025-43394: Csaba Fitzl (@theevilbit, Kandji)

CloudKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-43448: Hikerell (Loadshine Lab)

configd

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2025-43395: Csaba Fitzl (@theevilbit, Kandji)

CoreAnimation

Saatavuus: macOS Sonoma

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.

CVE-2025-43401: 이동하 (Lee Dong, BoB 14th), Trend Micro Zero Day Initiativen parissa työskentelevä wac

CoreServices

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43479: nimetön tutkija

CoreServices

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2025-43382: Gergely Kalman (@gergely_kalman)

CoreText

Saatavuus: macOS Sonoma

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43445: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Dock

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2025-43420: Rodolphe BRUNETTI (@eisw0lf, Lupus Nova)

FileProvider

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2025-43498: pattern-f (@pattern_F_)

Finder

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2025-43348: Ferdous Saljooki (@malwarezoo, Jamf)

GPU Drivers

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43474: Murray Mike

ImageIO

Saatavuus: macOS Sonoma

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2025-43372: 이동하 (Lee Dong Ha, SSA Lab)

ImageIO

Saatavuus: macOS Sonoma

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43338: 이동하 (Lee Dong Ha, SSA Lab)

Installer

Saatavuus: macOS Sonoma

Vaikutus: eristetty appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-43396: nimetön tutkija

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Saatavuus: macOS Sonoma

Vaikutus: eristetty appi saattoi pystyä tarkastelemaan järjestelmänlaajuisia verkkoyhteyksiä.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-43413: Dave G. ja Alex Radocea (supernetworks.org)

Notes

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-43389: Kirin (@Pwnrin)

NSSpellChecker

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43469: Mickey Jin (@patch1t)

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-43411: nimetön tutkija

Photos

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-43405: nimetön tutkija

Photos

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2025-43391: Asaf Cohen

Ruby

Saatavuus: macOS Sonoma

Vaikutus: rubyssä esiintyi useita ongelmia.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-43398

CVE-2024-49761

CVE-2025-6442

Security

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.

CVE-2025-43335: Csaba Fitzl (@theevilbit, Kandji)

Share Sheet

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy, saattoi pystyä käyttämään yhteystietoja lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2025-43408: Vivek Dhar, ASI (RM) Border Security Forcessa, FTR HQ BSF Kashmir

SharedFileList

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43476: Mickey Jin (@patch1t)

Shortcuts

Saatavuus: macOS Sonoma

Vaikutus: pikakomento saattoi pystyä käyttämään tiedostoja, jotka eivät ole yleensä Pikakomennot-apin käytettävissä.

Kuvaus: käyttöoikeusongelma on ratkaistu parantamalla validointia.

CVE-2025-30465: nimetön tutkija

CVE-2025-43414: nimetön tutkija

Shortcuts

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-43499: nimetön tutkija

sips

Saatavuus: macOS Sonoma

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43380: Nikolai Skliarenko (Trend Micro Zero Day Initiative)

Siri

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2025-43477: Kirin (@Pwnrin)

SoftwareUpdate

Saatavuus: macOS Sonoma

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43336: Rodolphe BRUNETTI (@eisw0lf, Lupus Nova)

SoftwareUpdate

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: käyttöoikeusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-43397: Csaba Fitzl (@theevilbit, Kandji)

Spotlight

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft), Alexia Wilson (Microsoft), Christine Fossaceca (Microsoft)

sudo

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-43334: Gergely Kalman (@gergely_kalman)

System Settings

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2025-43348: Ferdous Saljooki (@malwarezoo, Jamf)

TCC

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: tiedostokaranteenin ohittaminen on ratkaistu lisäämällä tarkistuksia.

CVE-2025-43412: Mickey Jin (@patch1t)

Wi-Fi

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43373: Wang Yu (Cyberserval)

zsh

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2025-43472: Morris Richman (@morrisinlife)