מידע על תוכן האבטחה של macOS Sonoma 14.7.7

מסמך זה מתאר את תוכן האבטחה של macOS Sonoma 14.7.7.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

macOS Sonoma 14.7.7

הופץ ב-29 ביולי 2025

Admin Framework

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2025-43191: ‏Ryan Dowd‏ (‎@_rdowd)

afclip

זמין עבור: macOS Sonoma

השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43186: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

AMD

זמין עבור: macOS Sonoma

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.

CVE-2025-43244: ‏ABC Research s.r.o.

AppleMobileFileIntegrity

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-31243: ‏Mickey Jin ‏(‎@patch1t)

AppleMobileFileIntegrity

זמין עבור: macOS Sonoma

השפעה: ייתכן שיישום זדוני יוכל להפעיל קודים בינאריים אקראיים במכשיר מהימן

תיאור: בעיה זו טופלה באמצעות אימות משופר של קלט.

CVE-2025-43253: ‏Noah Gregory ‏(wts.dev)

AppleMobileFileIntegrity

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-43249: ‏Mickey Jin ‏(‎@patch1t)

AppleMobileFileIntegrity

זמין עבור: macOS Sonoma

השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2025-43248: ‏Mickey Jin ‏(‎@patch1t)

AppleMobileFileIntegrity

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית שנמוך טופלה באמצעות הגבלות נוספות על חתימת קוד.

CVE-2025-43245: ‏Mickey Jin ‏(‎@patch1t)

CFNetwork

זמין עבור: macOS Sonoma

השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית שימוש-לאחר-שחרור טופלה על ידי הסרת הקוד הפגיע.

CVE-2025-43222: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

CFNetwork

זמין עבור: macOS Sonoma

השפעה: משתמש ללא הרשאות עלול להצליח לשנות הגדרות רשת מוגבלות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.

CVE-2025-43223: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

copyfile

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2025-43220‏: Mickey Jin ‏(‎@patch1t)

Core Services

זמין עבור: macOS Sonoma

השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש

תיאור: בעיית הרשאות טופלה על ידי הסרת הקוד הפגיע.

CVE-2025-43199: חוקר אנונימי, Gergely Kalman ‏(‎@gergely_kalman)

CoreMedia

זמין עבור: macOS Sonoma

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43210: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreServices

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הייתה בעיה בטיפול במשתני סביבה. בעיה זו טופלה באמצעות שיפור האימות.

CVE-2025-43195: ‏风沐云烟 ‏(‎@binary_fmyy) ו-Minghao Lin ‏(‎@Y1nKoc)

Disk Images

זמין עבור: macOS Sonoma

השפעה: הפעלה של פקודת hdiutil עלולה להפעיל קוד שרירותי באופן לא צפוי

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2025-43187: ‏风沐云烟 ‏(‎@binary_fmyy) ו-Minghao Lin ‏(‎@Y1nKoc)

Dock

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2025-43198: ‏Mickey Jin ‏(‎@patch1t)

file

זמין עבור: macOS Sonoma

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-43254: ‏2ourc3 | ‏Salim Largo

File Bookmark

זמין עבור: macOS Sonoma

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-43261: חוקר אנונימי

Find My

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-31279: ‏Dawuge מ-Shuffle Team

Finder

זמין עבור: macOS Sonoma

השפעה: יישום עשוי להצליח להפעיל קוד שרירותי מתוך ארגז החול שלו או עם הרשאות מלאות מסוימות

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-24119: חוקר אנונימי

GPU Drivers

זמין עבור: macOS Sonoma

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43255: אנונימי ביחד עם Trend Micro Zero Day Initiative

CVE-2025-43284: אנונימי ביחד עם Trend Micro Zero Day Initiative

הרשומה עודכנה ב-28 באוגוסט 2025

ICU

זמין עבור: macOS Sonoma

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43209: ‏Gary Kwong ביחד עם Trend Micro Zero Day Initiative

ImageIO

זמין עבור: macOS Sonoma

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-43226

LaunchServices

זמין עבור: macOS Sonoma

השפעה: יישום עשוי להצליח להפעיל קוד שרירותי מתוך ארגז החול שלו או עם הרשאות מלאות מסוימות

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-24119: חוקר אנונימי

libxpc

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2025-43196: חוקר אנונימי

libxslt

זמין עבור: macOS Sonoma

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-7424‏: Ivan Fratric מ-Google Project Zero

Managed Configuration

זמין עבור: macOS Sonoma

השפעה: 'רישום משתמש' מבוסס חשבון עדיין עשוי להיות אפשרי כאשר 'מצב נעילה' מופעל

תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.

CVE-2025-43192: ‏Pyrophoria

NetAuth

זמין עבור: macOS Sonoma

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2025-43275: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji

Notes

זמין עבור: macOS Sonoma

השפעה: יישום עלול לקבל גישה לא מורשית לרשת מקומית

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2025-43270: ‏Minqiang Gui

Notes

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2025-43225: ‏Kirin‏ (‎@Pwnrin)

NSSpellChecker

זמין עבור: macOS Sonoma

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43266: ‏Noah Gregory ‏(wts.dev)

PackageKit

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לחטוף זכויות שהוענקו ליישומים אחרים בעלי הרשאות

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2025-43260: ‏Zhongquan Li‏ (‎@Guluisacat)

PackageKit

זמין עבור: macOS Sonoma

השפעה: יישום זדוני עם הרשאות בסיס עשוי לשנות את התוכן של קובצי המערכת

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43247: ‏Mickey Jin ‏(‎@patch1t)

PackageKit

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-43194: ‏Mickey Jin ‏(‎@patch1t)

PackageKit

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43232: ‏Koh M. Nakagawa ‏(‎@tsunek0h), ‏Csaba Fitzl ‏(‎@theevilbit) מ-Kandji ו-Gergely Kalman ‏(‎@gergely_kalman)

Power Management

זמין עבור: macOS Sonoma

השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43236: ‏Dawuge מ-Shuffle Team

SceneKit

זמין עבור: macOS Sonoma

השפעה: יישום עשוי להצליח לקרוא קבצים מחוץ לארגז החול

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43241: ‏Mickey Jin ‏(‎@patch1t)

Security

זמין עבור: macOS Sonoma

השפעה: יישום זדוני הפועל כ-Proxy של HTTPS עלול להשיג גישה לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות הגבלות גישה משופרות.

CVE-2025-43233: ‏Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

SecurityAgent

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43193: ‏Dawuge מ-Shuffle Team

SharedFileList

זמין עבור: macOS Sonoma

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2025-43250: ‏Yuebin Sun ‏(‎@yuebinsun2020), ‏Mickey Jin ‏(‎@patch1t)

Shortcuts

זמין עבור: macOS Sonoma

השפעה: קיצור דרך עלול להצליח לעקוף הגדרות רגישות של היישום 'קיצורים'

תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.

CVE-2025-43184: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji

Single Sign-On

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.

CVE-2025-43197: ‏Shang-De Jiang ו-Kazma Ye מ-CyCraft Technology

sips

זמין עבור: macOS Sonoma

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43239: ‏Nikolai Skliarenko מ-Trend Micro Zero Day Initiative

Software Update

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43243: ‏Mickey Jin ‏(‎@patch1t), ‏Keith Yeo ‏(‎@kyeojy) מ-Team Orca של Sea Security

Spotlight

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2025-43246: ‏Mickey Jin ‏(‎@patch1t)

StorageKit

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-43256: חוקר אנונימי

System Settings

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2025-43206: ‏Zhongquan Li‏ (‎@Guluisacat)

WebContentFilter

זמין עבור: macOS Sonoma

השפעה: יישום זדוני עלול להצליח לקרוא זיכרון ליבה

תיאור: בעיה זו טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43189: חוקר אנונימי

WindowServer

זמין עבור: macOS Sonoma

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2025-43259: ‏Martti Hütt

Xsan

זמין עבור: macOS Sonoma

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2025-43238: חוקר אנונימי

הכרה נוספת

CoreAudio

אנחנו רוצים להודות ל-‎@zlluny, ‏Noah Weinberg על הסיוע.

Device Management

אנחנו רוצים להודות ל-Al Karak על הסיוע.

Game Center

אנחנו מבקשים להודות ל-YingQi Shi ‏(‎@Mas0nShi) ממעבדת WeBin ב-DBAppSecurity על הסיוע.

libxslt

ברצוננו להודות לאיוון פרטריץ' מ-Google Project Zero על הסיוע.

Shortcuts

אנחנו רוצים להודות ל-Chi Yuan Chang מ-ZUSO ART ל-taikosoup ול-Dennis Kniep על הסיוע.

WebDAV

אנחנו רוצים להודות ל-Christian Kohlschütter על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: