מידע על תוכן האבטחה של macOS Sequoia 15.5
מסמך זה מתאר את תוכן האבטחה של macOS Sequoia 15.5.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
macOS Sequoia 15.5
הופץ ב-12 במאי 2025
afpfs
זמין עבור: macOS Sequoia
השפעה: התחברות לשרת AFP זדוני עלולה להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-31246: Joseph Ravichandran (@0xjprx) מ-MIT CSAIL
afpfs
זמין עבור: macOS Sequoia
השפעה: התקנת פלח רשת AFP בעל מבנה זדוני עלול להוביל לסיום של פעולת המערכת
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2025-31240: Dave G.
CVE-2025-31237: Dave G.
Apple Intelligence Reports
זמין עבור: macOS Sequoia
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2025-31260: Thomas Völkl (@vollkorntomate), SEEMOO, TU Darmstadt
AppleJPEG
זמין עבור: macOS Sequoia
השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: הבעיה טופלה באמצעות סניטציה משופרת של קלט.
CVE-2025-31251: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
Audio
זמין עבור: macOS Sequoia
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: בעיית שחרור כפול טופלה באמצעות ניהול זיכרון משופר.
CVE-2025-31235: Dillon Franke יחד עם Google Project Zero
BOM
זמין עבור: macOS Sequoia
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-24222: wac יחד עם Trend Micro Zero Day Initiative
Core Bluetooth
זמין עבור: macOS Sequoia
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2025-31212: Guilherme Rambo מ-Best Buddy Apps (rambo.codes)
CoreAudio
זמין עבור: macOS Sequoia
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-31208: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CoreGraphics
זמין עבור: macOS Sequoia
השפעה: ניתוח קובץ עלול להוביל לחשיפת מידע של משתמש
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2025-31209: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CoreMedia
זמין עבור: macOS Sequoia
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2025-31239: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CoreMedia
זמין עבור: macOS Sequoia
השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: הבעיה טופלה באמצעות סניטציה משופרת של קלט.
CVE-2025-31233: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
Finder
זמין עבור: macOS Sequoia
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה של חשיפת מידע טופלה באמצעות בקרות פרטיוּת משופרות.
CVE-2025-31236: Kirin@Pwnrin ו-LFY@secsys מאוניברסיטת פודן
Found in Apps
זמין עבור: macOS Sequoia
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית פרטיות טופלה על-ידי הסרת הקוד הפגיע.
CVE-2025-30443: Bohdan Stasiuk (@bohdan_stasiuk)
ImageIO
זמין עבור: macOS Sequoia
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2025-31226: Saagar Jha
Installer
זמין עבור: macOS Sequoia
השפעה: יישום עם תכונת 'ארגז חול' עשוי להיות מסוגל לגשת לנתוני משתמש רגישים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2025-31232: חוקר אנונימי
Kernel
זמין עבור: macOS Sequoia
השפעה: תוקף מרוחק עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24224: Tony Iskow (@Tybbow)
הרשומה נוספה ב‑29 ביולי 2025
Kernel
זמין עבור: macOS Sequoia
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום
תיאור: בעיית שחרור כפול טופלה באמצעות ניהול זיכרון משופר.
CVE-2025-31241: Christian Kohlschütter
Kernel
זמין עבור: macOS Sequoia
השפעה: תוקף עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-31219: Michael DePlante (@izobashi) ו-Lucas Leong (@_wmliang_) מ-Trend Micro Zero Day Initiative
libexpat
זמין עבור: macOS Sequoia
השפעה: בעיות מרובות ב-libexpat, כולל סיום בלתי צפוי של פעולת יישום או הפעלת קוד שרירותי
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-8176
Libinfo
זמין עבור: macOS Sequoia
השפעה: יישום עלול להצליח לעקוף את ASLR
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-30440: Paweł Płatek (Trail of Bits)
mDNSResponder
זמין עבור: macOS Sequoia
השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית נכונות טופלה באמצעות בדיקות משופרות.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Mobile Device Service
זמין עבור: macOS Sequoia
השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש
תיאור: בעיה של אימות קלט טופלה על ידי הסרת הקוד הפגיע.
CVE-2025-24274: חוקר אנונימי
NetworkExtension
זמין עבור: macOS Sequoia
השפעה: יישום עלול להצליח לתצפת על שמות המארחים של חיבורי רשת חדשים
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2025-31218: Adam M.
Notes
זמין עבור: macOS Sequoia
השפעה: פינה חמה עלולה לחשוף באופן בלתי צפוי פתקי משתמש שנמחקו
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2025-31256: Sourabhkumar Mishra
Notification Center
זמין עבור: macOS Sequoia
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2025-24142: LFY@secsys מ-Fudan University
OpenSSH
זמין עבור: macOS Sequoia
השפעה: מספר בעיות ב-OpenSSH
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2025-26465
CVE-2025-26466
Pro Res
זמין עבור: macOS Sequoia
השפעה: תוקף עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות סניטציה משופרת של קלט.
CVE-2025-31234: CertiK (@CertiK)
Pro Res
זמין עבור: macOS Sequoia
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-31245: wac
quarantine
זמין עבור: macOS Sequoia
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: מעקף של הסגר קבצים טופל באמצעות בדיקות נוספות.
CVE-2025-31244: Csaba Fitzl (@theevilbit) מ-Kandji
RemoteViewServices
זמין עבור: macOS Sequoia
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2025-31258: חוקר אנונימי
Sandbox
זמין עבור: macOS Sequoia
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2025-31249: Ryan Dowd (@_rdowd)
Sandbox
זמין עבור: macOS Sequoia
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2025-31224: Csaba Fitzl (@theevilbit) מ-Kandji
Security
זמין עבור: macOS Sequoia
השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2025-31221: Dave G.
Security
זמין עבור: macOS Sequoia
השפעה: יישום עלול להצליח לגשת לשמות משתמש ואתרים משויכים בצרור מפתחות של iCloud של משתמש
תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.
CVE-2025-31213: Kirin (@Pwnrin) ו-7feilee
SharedFileList
זמין עבור: macOS Sequoia
השפעה: תוקף עלול לקבל גישה לחלקים מוגנים במערכת הקבצים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2025-31247: חוקר אנונימי
SoftwareUpdate
זמין עבור: macOS Sequoia
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: הבעיה טופלה באמצעות סניטציה משופרת של קלט.
CVE-2025-31259: חוקר אנונימי
StoreKit
זמין עבור: macOS Sequoia
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2025-31242: Eric Dorphy מ-Twin Cities App Dev LLC
TCC
זמין עבור: macOS Sequoia
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה של חשיפת מידע טופלה באמצעות בקרות פרטיוּת משופרות.
CVE-2025-31250: Noah Gregory (wts.dev)
Weather
זמין עבור: macOS Sequoia
השפעה: יישום זדוני עשוי לקרוא מידע רגיש על מיקום
תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.
CVE-2025-31220: Adam M.
WebKit
זמין עבור: macOS Sequoia
השפעה: בעיית בלבול בסוגים עלולה להוביל להשחתת זיכרון
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של ערכי Float.
WebKit Bugzilla: 286694
CVE-2025-24213: Google V8 Security Team
WebKit
זמין עבור: macOS Sequoia
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 289387
CVE-2025-31223: Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs
WebKit Bugzilla: 289653
CVE-2025-31238: wac יחד עם Trend Micro Zero Day Initiative
WebKit
זמין עבור: macOS Sequoia
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 288814
CVE-2025-31215: Jiming Wang ו-Jikai Ren
WebKit
זמין עבור: macOS Sequoia
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 291506
CVE-2025-31204: Nan Wang (@eternalsakura13)
WebKit Bugzilla: 287577
CVE-2025-24223: rheza (@ginggilBesel) וחוקר אנונימי
WebKit
זמין עבור: macOS Sequoia
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.
WebKit Bugzilla: 290834
CVE-2025-31206: חוקר אנונימי
WebKit
זמין עבור: macOS Sequoia
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.
WebKit Bugzilla: 289677
CVE-2025-31217: Ignacio Sanmillan (@ulexec)
WebKit
זמין עבור: macOS Sequoia
השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 290992
CVE-2025-31205: Ivan Fratric מ-Google Project Zero
WebKit
זמין עבור: macOS Sequoia
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיה זו טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 290985
CVE-2025-31257: Juergen Schmied מ-Lynck GmbH
הכרה נוספת
AirDrop
אנחנו מבקשים להודות ל-Dalibor Milanovic על הסיוע.
Foundation
אנחנו מבקשים להודות ל-Claudio Bozzato ול-Francesco Benvenuto מ-Cisco Talos על הסיוע.
Kernel
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
אנחנו מבקשים להודות ל-IES Red Team מ-ByteDance על הסיוע.
MobileGestalt
אנחנו מבקשים להודות ל-iisBuri על הסיוע.
NetworkExtension
אנחנו מבקשים להודות ל-Andrei-Alexandru Bleorțu ול-Dmytro Merkulov על הסיוע.
Notes
אנחנו מבקשים להודות ל-YingQi Shi (@Mas0nShi) ממעבדת WeBin ב-DBAppSecurity על הסיוע.
Safari
אנו רוצים להודות ל-@RenwaX23, ל-Akash Labade, ל-Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt. Ltd, פונה (הודו) על הסיוע.
Sandbox
אנחנו מבקשים להודות ל-Kirin@Pwnrin ו-LFY@secsys מאוניברסיטת פודן, ל-Tal Lossos ול-Zhongquan Li (@Guluisacat) על הסיוע.
Shortcuts
אנחנו מבקשים להודות ל-Candace Jensen מ-Kandji, ל-Chi Yuan Chang מ-ZUSO ART ו-taikosoup, ל-Egor Filatov (Positive Technologies), ל-Marcio Almeida מ-Tanto Security, Monnier Pascaud ול-Ron Masas מ-BREAKPOINT.SH על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Mike Dougherty ו-Daniel White מ-Google Chrome ולחוקר אנונימי על הסיוע.
XProtect
אנחנו מבקשים להודות ל-Csaba Fitzl (@theevilbit) מ-Kandji על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.