מידע על תוכן האבטחה של macOS Sonoma 14.8

מסמך זה מתאר את תוכן האבטחה של macOS Sonoma 14.8.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

macOS Sonoma 14.8

הופץ ב-15 בספטמבר 2025

AMD

זמין עבור: macOS Sonoma

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2025-43312: ‏ABC Research s.r.o.‎

AppKit

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: הבעיה נפתרה על ידי חסימת הפעלה של שירותים לא חתומים ב-Intel Macs.

CVE-2025-43321‏: Mickey Jin ‏(‎@patch1t)

Apple Online Store Kit

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-31268‏: Csaba Fitzl ‏(‎@theevilbit) ו-Nolan Astrein מ-Kandji

AppSandbox

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43285: ‏Zhongquan Li ‏(‎@Guluisacat), ‏Mickey Jin ‏(‎@patch1t)

CoreAudio

זמין עבור: macOS Sonoma

השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-43349: ‏‎@zlluny ביחד עם Trend Zero Day Initiative

CoreAudio

זמין עבור: macOS Sonoma

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להשחתת זיכרון

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43277: ‏Google Threat Analysis Group

CoreMedia

זמין עבור: macOS Sonoma

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: בעיית הרשאות טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2025-43273: ‏Seo Hyun-gyu ‏(‎@wh1te4ever), ‏Minghao Lin ‏(‎@Y1nKoc), ‏风 (‏binaryfmyy), ‏BochengXiang ‏(‎@Crispr) ו-YingQi Shi ‏(‎@Mas0nShi), ‏Dora Orak

CoreServices

זמין עבור: macOS Sonoma

השפעה: יישום זדוני עלול להצליח לגשת למידע פרטי

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-43305: חוקר אנונימי, Mickey Jin ‏(‎@patch1t)

GPU Drivers

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43326: ‏Wang Yu מ-Cyberserval

IOHIDFamily

זמין עבור: macOS Sonoma

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43302: ‏Keisuke Hosoda

IOKit

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2025-31255: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji

Kernel

זמין עבור: macOS Sonoma

השפעה: שקע שרת UDP שקשור לממשק מקומי עלול להיות קשור לכל הממשקים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2025-43359‏: Viktor Oreshkin

LaunchServices

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-43231: ‏Mickey Jin ‏(‎@patch1t), ‏Kirin@Pwnrin ו-LFY@secsys מ-Fudan University, חוקר אנונימי

libc

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.

CVE-2025-43299: ‏Nathaniel Oh ‏(‎@calysteon)

CVE-2025-43295: ‏Nathaniel Oh ‏(‎@calysteon)

Libinfo

זמין עבור: macOS Sonoma

השפעה: עיבוד מחרוזת בעלת מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2025-43353: ‏Nathaniel Oh ‏(‎@calysteon)

MediaLibrary

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2025-43319: ‏Hikerell ‏(Loadshine Lab)

MigrationKit

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2025-43315: ‏Rodolphe Brunetti ‏(‎@eisw0lf) מ-Lupus Nova

MobileStorageMounter

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43355: ‏Dawuge מ-Shuffle Team

Notification Center

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לפרטים ליצירת קשר הקשורים לעדכונים במרכז העדכונים

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2025-43301: ‏LFY@secsys מ-Fudan University

PackageKit

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2025-43298: חוקר אנונימי

Perl

זמין עבור: macOS Sonoma

השפעה: מספר תקלות ב-Perl

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-40909

Printing

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-31269‏: Zhongcheng Li מ-IES Red Team של ByteDance

Ruby

זמין עבור: macOS Sonoma

השפעה: עיבוד קובץ עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-27280

Screenshots

זמין עבור: macOS Sonoma

השפעה: יישום עלול לצלם צילום מסך של יישום בכניסה או ביציאה ממצב מסך מלא

תיאור: בעיית פרטיות טופלה באמצעות בדיקות משופרות.

CVE-2025-31259: חוקר אנונימי

Security Initialization

זמין עבור: macOS Sonoma

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: מעקף של הסגר קבצים טופל באמצעות בדיקות נוספות.

CVE-2025-43332: חוקר אנונימי

SharedFileList

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.

CVE-2025-43293: חוקר אנונימי

SharedFileList

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית הרשאות טופלה על ידי הסרת הקוד הפגיע.

CVE-2025-43291: ‏Ye Zhang מ-Baidu Security

SharedFileList

זמין עבור: macOS Sonoma

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43286: ‏pattern-f ‏(‎@pattern_F_), ‏‎@zlluny

Shortcuts

זמין עבור: macOS Sonoma

השפעה: קיצור דרך עלול להצליח לעקוף הגבלות של 'ארגז החול'

תיאור: בעיית הרשאות טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2025-43358: ‏정답이 아닌 해답

Siri

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית פרטיות טופלה באמצעות העברה של נתונים רגישים.

CVE-2025-43367: ‏Kirin ‏(‎@Pwnrin), ‏Cristian Dinca מ-Tudor Vianu National High School of Computer Science, רומניה

Spell Check

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2025-43190: ‏Noah Gregory ‏(wts.dev)

Spotlight

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-24197: ‏Rodolphe Brunetti ‏(‎@eisw0lf) מ-Lupus Nova

Storage

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43341: חוקר אנונימי

StorageKit

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2025-43314: ‏Mickey Jin‏ (‎@patch1t)

StorageKit

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.

CVE-2025-43304: ‏Mickey Jin‏ (‎@patch1t)

Touch Bar

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.

CVE-2025-43311: חוקר אנונימי, Justin Elliot Fu

Touch Bar Controls

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.

CVE-2025-43308: חוקר אנונימי

WindowServer

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח להערים על משתמש ולגרום לו להעתיק נתונים רגישים אל לוח ההדבקה

תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.

CVE-2025-43310: חוקר אנונימי

הכרה נוספת

Airport

אנחנו מבקשים להודות ל-Csaba Fitzl‏ (@theevilbit) מ-Kandji על הסיוע.

libpthread

אנחנו מבקשים להודות ל-Nathaniel Oh ‏(‎@calysteon) על הסיוע.

libxml2

אנחנו מבקשים להודות ל-Nathaniel Oh ‏(‎@calysteon), ‏Sergei Glazunov מ-Google Project Zero על הסיוע.

SharedFileList

אנחנו מבקשים להודות ל-Ye Zhang מ-Baidu Security על הסיוע.

Wi-Fi

אנחנו מבקשים להודות ל-Csaba Fitzl ‏(‎@theevilbit) מ-Kandji, ‏Noah Gregory ‏(wts.dev), ‏Wojciech Regula מ-SecuRing ‏(wojciechregula.blog), חוקר אנונימי על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: