Informacije o sigurnosnom sadržaju sustava macOS Sonoma 14.7.6

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Sonoma 14.7.6.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Sonoma 14.7.6

afpfs

Dostupno za: macOS Sonoma

Učinak: povezivanje sa zlonamjernim poslužiteljem AFP moglo bi oštetiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-31246: Joseph Ravichandran (@0xjprx) (MIT CSAIL)

afpfs

Dostupno za: macOS Sonoma

Učinak: postavljanje zlonamjerno izrađene opcije dijeljenja mreže AFP moglo bi uzrokovati prekid rada sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31240: Dave G.

CVE-2025-31237: Dave G.

AppleJPEG

Dostupno za: macOS Sonoma

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2025-31251: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Audio

Dostupno za: macOS Sonoma

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-31235: Dillon Franke i Google Project Zero

CoreAudio

Dostupno za: macOS Sonoma

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31208: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreGraphics

Dostupno za: macOS Sonoma

Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-31196: wac i inicijativa Zero Day (Trend Micro)

CoreGraphics

Dostupno za: macOS Sonoma

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-31209: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreMedia

Dostupno za: macOS Sonoma

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-31239: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreMedia

Dostupno za: macOS Sonoma

Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije ili oštećenja procesne memorije

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2025-31233: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

DiskArbitration

Dostupno za: macOS Sonoma

Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem je riješen dodatnim provjerama dozvola.

CVE-2025-30453: Csaba Fitzl (@theevilbit) (Kandji), anonimni istraživač

DiskArbitration

Dostupno za: macOS Sonoma

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-24258: Csaba Fitzl (@theevilbit) (Kandji), anonimni istraživač

iCloud Document Sharing

Dostupno za: macOS Sonoma

Učinak: napadač bi mogao uključiti dijeljenje mape iCloud bez autentifikacije

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2025-30448: Lyutoon and YenKoc, Dayton Pidhirney (Atredis Partners)

Installer

Dostupno za: macOS Sonoma

Učinak: aplikacija u memoriji za testiranje mogla bi pristupiti povjerljivim korisničkim podacima

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-31232: anonimni istraživač

Kernel

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem s otkrivanjem informacija riješen je uklanjanjem koda sa slabim točkama.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Dostupno za: macOS Sonoma

Učinak: napadači su mogli izazvati neočekivan pad sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-31219: Michael DePlante (@izobashi) i Lucas Leong (@_wmliang_) iz inicijative Zero Day (Trend Micro)

Kernel

Dostupno za: macOS Sonoma

Učinak: udaljeni napadači mogli su izazvati neočekivano zatvaranje aplikacije

Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-31241: Christian Kohlschütter

libexpat

Dostupno za: macOS Sonoma

Učinak: više problema koji se odnose na libexpat, uključujući neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-8176

Libinfo

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla zaobići ASLR

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-30440: Paweł Płatek (Trail of Bits)

mDNSResponder

Dostupno za: macOS Sonoma

Učinak: korisnik bi si mogao povećati ovlasti

Opis: problem s točnošću riješen je poboljšanim provjerama.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Mobile Device Service

Dostupno za: macOS Sonoma

Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s potvrđivanjem unosa riješen je uklanjanjem koda sa slabim točkama.

CVE-2025-24274: anonimni istraživač

Notification Center

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2025-24142: LFY@secsys (Sveučilište Fudan)

OpenSSH

Dostupno za: macOS Sonoma

Učinak: veći broj problema u softveru OpenSSH

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-26465

CVE-2025-26466

Pro Res

Dostupno za: macOS Sonoma

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31245: wac

Sandbox

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-31224: Csaba Fitzl (@theevilbit) (Kandji)

Security

Dostupno za: macOS Sonoma

Učinak: udaljeni napadač mogao bi otkriti memoriju

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-31221: Dave G.

Security

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti povezanim korisničkim imenima i web-mjestima s korisnikova iCloud privjeska ključeva

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-31213: Kirin (@Pwnrin) i 7feilee

SharedFileList

Dostupno za: macOS Sonoma

Učinak: napadač bi mogao ostvariti pristup zaštićenim dijelovima datotečnog sustava

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2025-31247: anonimni istraživač

SoftwareUpdate

Dostupno za: macOS Sonoma

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2025-30442: anonimni istraživač

StoreKit

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2025-31242: Eric Dorphy (Twin Cities App Dev LLC)

Weather

Dostupno za: macOS Sonoma

Učinak: zlonamjerna aplikacija mogla bi čitati osjetljive lokacijske podatke

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2025-31220: Adam M.

WebContentFilter

Dostupno za: macOS Sonoma

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24155: anonimni istraživač

Dodatna zahvala

Kernel

Na pomoći zahvaljujemo anonimnom istraživaču.

Shortcuts

Zahvaljujemo se Candace Jensen (Kandji), Chiju Yuanu Changu (ZUSO ART) i korisniku taikosoup na pomoći.