Informacije o sigurnosnom sadržaju sustava macOS Sonoma 14.7.7
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Sonoma 14.7.7.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Sonoma 14.7.7
Izdano 29. srpnja 2025.
Admin Framework
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2025-43191: Ryan Dowd (@_rdowd)
afclip
Dostupno za: macOS Sonoma
Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2025-43186: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
AMD
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2025-43244: ABC Research s.r.o.
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2025-31243: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: zlonamjerna aplikacija mogla je na pouzdanom uređaju pokretati proizvoljne binarne datoteke
Opis: problem je riješen poboljšanom provjerom ulaza.
CVE-2025-43253: Noah Gregory (wts.dev)
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2025-43249: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2025-43248: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem vraćanja na stariju verziju riješen je dodatnim ograničenjima potpisivanja koda.
CVE-2025-43245: Mickey Jin (@patch1t)
CFNetwork
Dostupno za: macOS Sonoma
Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije
Opis: problem s upotrebom nakon osobađanja riješen je uklanjanjem koda sa slabim točkama.
CVE-2025-43222: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)
CFNetwork
Dostupno za: macOS Sonoma
Učinak: korisnik bez ovlasti mogao bi izmijeniti ograničene mrežne postavke
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2025-43223: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)
copyfile
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.
CVE-2025-43220: Mickey Jin (@patch1t)
Core Services
Dostupno za: macOS Sonoma
Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s dozvolama riješen je uklanjanjem koda sa slabim točkama.
CVE-2025-43199: anonimni istraživač, Gergely Kalman (@gergely_kalman)
CoreMedia
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2025-43210: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
CoreServices
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je postojao u rukovanju varijablama okruženja. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2025-43195: 风沐云烟 (@binary_fmyy) i Minghao Lin (@Y1nKoc)
Disk Images
Dostupno za: macOS Sonoma
Učinak: pokretanjem naredbe hdiutil neočekivano se mogao pokrenuti proizvoljni kod
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2025-43187: 风沐云烟 (@binary_fmyy) i Minghao Lin (@Y1nKoc)
Dock
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2025-43198: Mickey Jin (@patch1t)
file
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2025-43254: 2ourc3 | Salim Largo
File Bookmark
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2025-43261: anonimni istraživač
Find My
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2025-31279: Dawuge (Shuffle Team)
Finder
Dostupno za: macOS Sonoma
Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2025-24119: anonimni istraživač
GPU Drivers
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2025-43255: anonimni istraživač i inicijativa Zero Day (Trend Micro)
CVE-2025-43284: anonimni istraživač i inicijativa Zero Day (Trend Micro)
Unos je ažuriran 28. kolovoza 2025.
ICU
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2025-43209: Gary Kwong i inicijativa Zero Day (Trend Micro)
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2025-43226
LaunchServices
Dostupno za: macOS Sonoma
Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2025-24119: anonimni istraživač
libxpc
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2025-43196: anonimni istraživač
libxslt
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2025-7424: Ivan Fratric (Google Project Zero)
Managed Configuration
Dostupno za: macOS Sonoma
Učinak: registracija korisnika na temelju računa bila je moguća i uz uključen zaključani način rada
Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.
CVE-2025-43192: Pyrophoria
NetAuth
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2025-43275: Csaba Fitzl (@theevilbit) (Kandji)
Notes
Dostupno za: macOS Sonoma
Učinak: aplikacija može steći neovlašten pristup lokalnoj mreži
Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.
CVE-2025-43270: Minqiang Gui
Notes
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.
CVE-2025-43225: Kirin (@Pwnrin)
NSSpellChecker
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2025-43266: Noah Gregory (wts.dev)
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija je mogla preoteti ovlasti dodijeljene drugim aplikacijama s ovlastima
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2025-43260: Zhongquan Li (@Guluisacat)
PackageKit
Dostupno za: macOS Sonoma
Učinak: zlonamjerna aplikacija s korijenskim privilegijama možda bi mogla izmjenjivati sadržaj sistemskih datoteka
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2025-43247: Mickey Jin (@patch1t)
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen poboljšanim provjerama.
CVE-2025-43194: Mickey Jin (@patch1t)
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2025-43232: Koh M. Nakagawa (@tsunek0h), Csaba Fitzl (@theevilbit) (Kandji) i Gergely Kalman (@gergely_kalman)
Power Management
Dostupno za: macOS Sonoma
Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2025-43236: Dawuge (Shuffle Team)
SceneKit
Dostupno za: macOS Sonoma
Učinak: aplikacije su mogle pročitati datoteke izvan ograničene memorije
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2025-43241: Mickey Jin (@patch1t)
Security
Dostupno za: macOS Sonoma
Učinak: zlonamjerna aplikacija koja djeluje kao HTTPS proxy mogla bi ostvariti pristup osjetljivim korisničkim podacima
Opis: ovaj je problem riješen poboljšanim ograničenjima pristupa.
CVE-2025-43233: Wojciech Regula of SecuRing (wojciechregula.blog)
SecurityAgent
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2025-43193: Dawuge (Shuffle Team)
SharedFileList
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2025-43250: Yuebin Sun (@yuebinsun2020), Mickey Jin (@patch1t)
Shortcuts
Dostupno za: macOS Sonoma
Učinak: prečac može zaobići osjetljive postavke aplikacije Prečaci
Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.
CVE-2025-43184: Csaba Fitzl (@theevilbit) (Kandji)
Single Sign-On
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.
CVE-2025-43197: Shang-De Jiang i Kazma Ye (CyCraft Technology)
sips
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2025-43239: Nikolai Skliarenko iz inicijative Zero Day (Trend Micro)
Software Update
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2025-43243: Mickey Jin (@patch1t), Keith Yeo (@kyeojy) iz tima Orca (Sea Security)
Spotlight
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2025-43246: Mickey Jin (@patch1t)
StorageKit
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2025-43256: anonimni istraživač
System Settings
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2025-43206: Zhongquan Li (@Guluisacat)
WebContentFilter
Dostupno za: macOS Sonoma
Učinak: zlonamjerna aplikacija mogla je čitati kernalsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2025-43189: anonimni istraživač
WindowServer
Dostupno za: macOS Sonoma
Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2025-43259: Martti Hütt
Xsan
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2025-43238: anonimni istraživač
Dodatna zahvala
CoreAudio
Na pomoći zahvaljujemo korisniku @zlluny i Noahu Weinbergu.
Device Management
Na pomoći zahvaljujemo Alu Karaku.
Game Center
Na pomoći zahvaljujemo korisniku YingQi Shi (@Mas0nShi) (DBAppSecurity's WeBin lab).
libxslt
Željeli bismo zahvaliti·Ivanu Fratricu (Google Project Zero) na pomoći.
Shortcuts
Na pomoći zahvaljujemo Chi Yuan Changu (ZUSO ART), korisniku taikosoup i Dennisu Kniepu.
WebDAV
Na pomoći zahvaljujemo Christianu Kohlschütteru.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.