Informacije o sigurnosnom sadržaju sustava macOS Sequoia 15.5

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Sequoia 15.5.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Sequoia 15.5

afpfs

Dostupno za: macOS Sequoia

Učinak: povezivanje sa zlonamjernim poslužiteljem AFP moglo bi oštetiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-31246: Joseph Ravichandran (@0xjprx) (MIT CSAIL)

afpfs

Dostupno za: macOS Sequoia

Učinak: postavljanje zlonamjerno izrađene opcije dijeljenja mreže AFP moglo bi uzrokovati prekid rada sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31240: Dave G.

CVE-2025-31237: Dave G.

Apple Intelligence Reports

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-31260: Thomas Völkl (@vollkorntomate), SEEMOO, TU Darmstadt

AppleJPEG

Dostupno za: macOS Sequoia

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2025-31251: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Audio

Dostupno za: macOS Sequoia

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-31235: Dillon Franke i Google Project Zero

BOM

Dostupno za: macOS Sequoia

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24222: wac i inicijativa Zero Day (Trend Micro)

Core Bluetooth

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-31212: Guilherme Rambo (Best Buddy Apps (rambo.codes))

CoreAudio

Dostupno za: macOS Sequoia

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31208: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreGraphics

Dostupno za: macOS Sequoia

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-31209: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreMedia

Dostupno za: macOS Sequoia

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-31239: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreMedia

Dostupno za: macOS Sequoia

Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije ili oštećenja procesne memorije

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2025-31233: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Finder

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s otkrivanjem informacija riješen je poboljšanjem značajki za zaštitu privatnosti.

CVE-2025-31236: Kirin@Pwnrin i LFY@secsys (Sveučilište Fudan)

Found in Apps

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s privatnošću riješen je uklanjanjem koda sa slabim točkama.

CVE-2025-30443: Bohdan Stasiuk (@bohdan_stasiuk)

ImageIO

Dostupno za: macOS Sequoia

Učinak: obrada zlonamjerne slike može dovesti do odbijanja usluge

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-31226: Saagar Jha

Installer

Dostupno za: macOS Sequoia

Učinak: aplikacija u memoriji za testiranje mogla bi pristupiti povjerljivim korisničkim podacima

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-31232: anonimni istraživač

Kernel

Dostupno za: macOS Sequoia

Učinak: udaljeni napadač mogao bi uzrokovati neočekivani pad sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Dostupno za: macOS Sequoia

Učinak: udaljeni napadači mogli su izazvati neočekivano zatvaranje aplikacije

Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-31241: Christian Kohlschütter

Kernel

Dostupno za: macOS Sequoia

Učinak: napadači su mogli izazvati neočekivan pad sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-31219: Michael DePlante (@izobashi) i Lucas Leong (@_wmliang_) iz inicijative Zero Day (Trend Micro)

libexpat

Dostupno za: macOS Sequoia

Učinak: više problema koji se odnose na libexpat, uključujući neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-8176

Libinfo

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla zaobići ASLR

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-30440: Paweł Płatek (Trail of Bits)

mDNSResponder

Dostupno za: macOS Sequoia

Učinak: korisnik bi si mogao povećati ovlasti

Opis: problem s točnošću riješen je poboljšanim provjerama.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Mobile Device Service

Dostupno za: macOS Sequoia

Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s potvrđivanjem unosa riješen je uklanjanjem koda sa slabim točkama.

CVE-2025-24274: anonimni istraživač

NetworkExtension

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla uočiti nazive hostova novih mrežnih veza

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2025-31218: Adam M.

Notes

Dostupno za: macOS Sequoia

Učinak: u kutu zaslona mogu se neočekivano prikazati neke izbrisane bilješke korisnika

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2025-31256: Sourabhkumar Mishra

Notification Center

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2025-24142: LFY@secsys (Sveučilište Fudan)

OpenSSH

Dostupno za: macOS Sequoia

Učinak: veći broj problema u softveru OpenSSH

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-26465

CVE-2025-26466

Pro Res

Dostupno za: macOS Sequoia

Učinak: napadači su mogli izazvati neočekivan pad sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2025-31234: CertiK (@CertiK)

Pro Res

Dostupno za: macOS Sequoia

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31245: wac

quarantine

Dostupno za: macOS Sequoia

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: zaobilaženje stavljanja datoteke u karantenu riješeno je dodatnim provjerama.

CVE-2025-31244: Csaba Fitzl (@theevilbit) (Kandji)

RemoteViewServices

Dostupno za: macOS Sequoia

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2025-31258: anonimni istraživač

Sandbox

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-31249: Ryan Dowd (@_rdowd)

Sandbox

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-31224: Csaba Fitzl (@theevilbit) (Kandji)

Security

Dostupno za: macOS Sequoia

Učinak: udaljeni napadač mogao bi otkriti memoriju

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-31221: Dave G.

Security

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla pristupiti povezanim korisničkim imenima i web-mjestima s korisnikova iCloud privjeska ključeva

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-31213: Kirin (@Pwnrin) i 7feilee

SharedFileList

Dostupno za: macOS Sequoia

Učinak: napadač bi mogao ostvariti pristup zaštićenim dijelovima datotečnog sustava

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2025-31247: anonimni istraživač

SoftwareUpdate

Dostupno za: macOS Sequoia

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2025-31259: anonimni istraživač

StoreKit

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2025-31242: Eric Dorphy (Twin Cities App Dev LLC)

TCC

Dostupno za: macOS Sequoia

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s otkrivanjem informacija riješen je poboljšanjem značajki za zaštitu privatnosti.

CVE-2025-31250: Noah Gregory (wts.dev)

Weather

Dostupno za: macOS Sequoia

Učinak: zlonamjerna aplikacija mogla bi čitati osjetljive lokacijske podatke

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2025-31220: Adam M.

WebKit

Dostupno za: macOS Sequoia

Učinak: problem sa zamjenom vrsta mogao je dovesti do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem vrijednostima s plutajućim zarezom.

CVE-2025-24213: tim za sigurnost Google V8

WebKit

Dostupno za: macOS Sequoia

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31223: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

CVE-2025-31238: wac i inicijativa Zero Day (Trend Micro)

WebKit

Dostupno za: macOS Sequoia

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31215: Jiming Wang i Jikai Ren

WebKit

Dostupno za: macOS Sequoia

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-31204: Nan Wang (@eternalsakura13)

CVE-2025-24223: rheza (@ginggilBesel) i anonimni istraživač

WebKit

Dostupno za: macOS Sequoia

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.

CVE-2025-31206: anonimni istraživač

WebKit

Dostupno za: macOS Sequoia

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Dostupno za: macOS Sequoia

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31205: Ivan Fratric (Google Project Zero)

WebKit

Dostupno za: macOS Sequoia

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-31257: Juergen Schmied (Lynck GmbH)

Dodatna zahvala

AirDrop

Na pomoći zahvaljujemo Daliboru Milanoviću.

Foundation

Na pomoći zahvaljujemo Claudiju Bozzatu i Francescu Benvenutu (Cisco Talos).

Kernel

Na pomoći zahvaljujemo anonimnom istraživaču.

Mail

Na pomoći zahvaljujemo korisniku IES Red Team (ByteDance).

MobileGestalt

Na pomoći zahvaljujemo iisBuriju.

NetworkExtension

Na pomoći zahvaljujemo Andrei-Alexandru Bleorțu i Dmytrou Merkulovu.

Notes

Na pomoći zahvaljujemo korisniku YingQi Shi (@Mas0nShi) (DBAppSecurity's WeBin lab).

Safari

Na pomoći zahvaljujemo sljedećim korisnicima: @RenwaX23, Akash Labade, Narendra Bhati (voditelj odjela kibernetičke sigurnosti društva Suma Soft Pvt). Ltd, Pune (India) na pomoći.

Sandbox

Na pomoći zahvaljujemo sljedećim korisnicima: Kirin@Pwnrin i LFY@secsys (sa Sveučilišta Fudan), Tal Lossos, Zhongquan Li (@Guluisacat).

Shortcuts

Na pomoći zahvaljujemo sljedećim korisnicima: Candace Jensen (Kandji), Chi Yuan Chang (ZUSO ART) i taikosoup, Egor Filatov (Positive Technologies), Marcio Almeida (Tanto Security), Monnier Pascaud, Ron Masas (BREAKPOINT.SH).

WebKit

Na pomoći zahvaljujemo Mikeu Doughertyju i Danielu Whiteu (Google Chrome) te anonimnom istraživaču.

XProtect

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Kandji).