A macOS Sonoma 14.7.5 biztonsági változásjegyzéke

Ez a dokumentum a macOS Sonoma 14.7.5 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Sonoma 14.7.5

AccountPolicy

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-24234: anonim kutató

AirDrop

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak tetszőleges fájlmetaadatokat beolvasni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24097: Ron Masas (BREAKPOINT.SH)

AirPlay

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2025-24177: Uri Katz (Oligo Security)

CVE-2025-24179: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A támadók megkerülhették a hitelesítési szabályzatokat a helyi hálózaton.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A támadók folyamatmemória-sérülést tudtak előidézni a helyi hálózaton.

Leírás: Elhárítottunk egy bemenet-ellenőrzési hibát.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy olyan hálózaton, amelyre egy bejelentkezett Mac is csatlakozik, nem hitelesített felhasználók párosítás nélkül küldhettek AirPlay-parancsokat.

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A támadók ki tudtak szivárogtatni bizalmas jellegű információkat a helyi hálózaton.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-24129: Uri Katz (Oligo Security)

CVE-2025-30445: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A támadók folyamatmemória-sérülést tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-24252: Uri Katz (Oligo Security)

App Store

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-24276: anonim kutató

Apple Account

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A magas hálózati jogosultságú támadók nyomon tudták követni a felhasználók tevékenységét.

Leírás: A protokollok hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2024-40864: Wojciech Regula (SecuRing, wojciechregula.blog)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24272: Mickey Jin (@patch1t)

CVE-2025-24231: Claudio Bozzato és Francesco Benvenuto (Cisco Talos)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy egy rosszindulatú alkalmazás képes voltak írni vagy olvasni a védett fájlokat

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24233: Claudio Bozzato és Francesco Benvenuto (Cisco Talos).

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el azt az adatvédelmi problémát.

CVE-2025-30443: Bohdan Stasiuk (@bohdan_stasiuk)

Audio

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások meg tudták kerülni az ASLR-t

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43205: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24243: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24244: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Automator

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: Elhárítottunk egy engedélyekkel kapcsolatos hibát a sebezhető kód eltávolításával és további ellenőrzések hozzáadásával.

CVE-2025-30460: anonim kutató

BiometricKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CloudKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24215: Kirin (@Pwnrin)

CoreAudio

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy egy ártó szándékkal készített hangfájl lejátszásakor váratlan alkalmazásleállásra került sor

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-24230: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 17.2 előtt kiadott iOS-verziókban.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2025-24085

CoreMedia

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2025-24236: Csaba Fitzl (@theevilbit) és Nolan Astrein (Kandji)

CoreMedia

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24190: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24211: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

CoreMedia Playback

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft) és egy anonim kutató

CoreServices

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.

CVE-2025-24170: YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab) és Minghao Lin (@Y1nKoc), Stephan Casas

CoreUtils

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2025-31203: Uri Katz (Oligo Security)

Crash Reporter

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2025-24277: Csaba Fitzl (@theevilbit, Kandji) és Gergely Kalman (@gergely_kalman), valamint egy anonim kutató

curl

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-9681

Disk Images

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További ellenőrzésekkel elhárítottuk a fájlkarantén megkerülését.

CVE-2025-31189: anonim kutató

Disk Images

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy fájleléréssel kapcsolatos hibát.

CVE-2025-24255: anonim kutató

DiskArbitration

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24267: anonim kutató

DiskArbitration

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2025-30456: Gergely Kalman (@gergely_kalman)

Display

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2025-24111: Wang Yu (Cyberserval)

Dock

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-30455: Mickey Jin (@patch1t) és egy anonim kutató

Dock

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-31187: Rodolphe BRUNETTI (@eisw0lf, Lupus Nova)

dyld

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazássandboxot használó alkalmazások korlátozások nélkül elindulhattak.

Leírás: További korlátozásokkal elhárítottunk egy könyvtárinjektálással kapcsolatos hibát.

CVE-2025-30462: Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi (Shielder, shielder.com)

Foundation

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy nem szabályozott formázó karakterlánccal kapcsolatos problémát.

CVE-2025-24199: Manuel Fernandez (Stackhopper Security)

Foundation

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A naplózás megtisztításával orvosoltuk a problémát

CVE-2025-30447: LFY@secsys (Fudan University)

GPU Drivers

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2025-24256: Murray Mike, anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

GPU Drivers

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2025-24273: Wang Yu, Cyberserval

CVE-2025-30464: ABC Research s.r.o.

ImageIO

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A képek elemzése a felhasználói adatok felfedéséhez vezetett

Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.

CVE-2025-24210: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

Installer

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy alkalmazással ellenőrizhető volt egy tetszőleges útvonal jelenléte a fájlrendszerben.

Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.

CVE-2025-24249: YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab) és Minghao Lin (@Y1nKoc)

Installer

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az elkülönített alkalmazások képesek lehetnek hozzáférni bizalmas felhasználói adatokhoz

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-24229: anonim kutató

Kerberos Helper

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A távoli támadók váratlan alkalmazásleállást, illetve halommemória-sérülést tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2025-24235: Dave G. (Supernetworks)

Kernel

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy ártó szándékkal készített alkalmazások képesek voltak megkísérelni a jelkódos hozzáférést egy zárolt eszközhöz, amellyel egyre fokozódó időbeli késleltetést okoztak 4 meghiúsult kísérlet után

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

Kernel

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24203: Ian Beer (Google Project Zero)

Kernel

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A felhasználói engedélyekkel rendelkező támadók képesek lehettek a kernelmemória olvasására

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2025-24196: Joseph Ravichandran (@0xjprx, MIT CSAIL)

LaunchServices

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A rosszindulatú JAR-fájlok meg tudták kerülni a Gatekeeper ellenőrzéseit

Leírás: A végrehajtható típusok hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-24148: Kenneth Chew

Libinfo

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2025-24195: Paweł Płatek (Trail of Bits)

libxml2

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-27113

CVE-2024-56171

libxpc

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-24178: anonim kutató

libxpc

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-31182: 风沐云烟(@binary_fmyy) és Minghao Lin(@Y1nKoc), Alex Radocea és Dave G. (Supernetworks)

libxpc

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-24238: anonim kutató

macOS Recovery

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2025-31264: Diamant Osmani és Valdrin Haliti [Kosovë], dbpeppe, Solitechworld

Mail

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A „Minden távoli tartalom blokkolása” a levelek nem minden előnézetére vonatkozott.

Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.

CVE-2025-24172: anonim kutató

manpages

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-30450: Pwn2car

Maps

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.

CVE-2025-30470: LFY@secsys (Fudan University)

NSDocument

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások képesek voltak tetszőleges fájlokhoz hozzáférni

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-24232: anonim kutató

OpenSSH

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzéssel elhárult egy beszúrási probléma.

CVE-2025-24246: Mickey Jin (@patch1t) és Fitzl Csaba (@theevilbit, Kandji)

PackageKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24261: Mickey Jin (@patch1t)

PackageKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-24164: Mickey Jin (@patch1t)

PackageKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A gyökérszintű jogosultságokkal rendelkező rosszindulatú alkalmazás módosíthatja a rendszerfájlok tartalmát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-30446: Pedro Tôrres (@t0rr3sp3dr0)

Parental Controls

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy alkalmazás jogosultság-ellenőrzés nélkül is le tudta kérdezni a Safari könyvjelzőit.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-24259: Noah Gregory (wts.dev)

Photos Storage

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordulhatott, hogy egy beszélgetés törlése az Üzenetekben elérhetővé tette a felhasználói kontaktadatokat a rendszernaplókban

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-30424: anonim kutató

Power Services

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-24173: Mickey Jin (@patch1t)

Sandbox

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-30452: anonim kutató

Sandbox

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24181: Arsenii Kostromin (0x3c3e)

Security

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2025-30471: Bing Shi, Wenchao Li és Xiaolong Bai (Alibaba Group), Luyi Xing (Indiana University Bloomington)

Security

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy HTTPS-proxyként működő kártékony alkalmazás hozzáférhetett érzékeny felhasználói adatokhoz.

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2025-24250: Wojciech Regula (SecuRing, wojciechregula.blog)

Share Sheet

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy ártó szándékkal készített alkalmazások képesek voltak bezárni a zárolt képernyőn megjelenő, folyamatban lévő felvételkészítésre figyelmeztető rendszerértesítést

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2025-24280: Kirin (@Pwnrin)

Shortcuts

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy billentyűparancs hitelesítés nélkül is elindítható volt rendszergazdai jogosultságokkal.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2025-31194: Dolf Hoegaerts, Michiel Devliegere

Shortcuts

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy egy billentyűparanccsal hozzá lehetett férni olyan fájlokhoz, amelyek normál esetben nem érhetők el a Parancsok appal

Leírás: Hatékonyabb érvényesség-ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-30465: anonim kutató

Shortcuts

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy egy billentyűparanccsal hozzá lehetett férni olyan fájlokhoz, amelyek normál esetben nem érhetők el a Parancsok appal

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2025-30433: Andrew James Gonzalez

Siri

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Siri segítségével a fizikai hozzáféréssel rendelkező támadók hozzá tudtak férni bizalmas felhasználói adatokhoz

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2025-24198: Richard Hyunho Im (@richeeta, routezero.security)

Siri

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az adattárolókhoz való hozzáférés hatékonyabb korlátozásával orvosoltuk a problémát.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2025-24205: YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab) és Minghao Lin (@Y1nKoc)

SMB

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy rosszindulatúan szerkesztett SMB-alapú hálózati megosztás csatlakoztatása a rendszer leállásához vezethetett.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2025-30444: Dave G. (Supernetworks)

SMB

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2025-24228: Joseph Ravichandran (@0xjprx, MIT CSAIL)

smbx

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A magas jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24260: zbleet (QI-ANXIN TianGong Team)

Software Update

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-24254: Arsenii Kostromin (0x3c3e)

Spotlight

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.

CVE-2024-54533: Csaba Fitzl (@theevilbit, OffSec)

StorageKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.

CVE-2025-31261: Mickey Jin (@patch1t)

Storage Management

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy alkalmazás a felhasználó hozzájárulása nélkül tudta engedélyezni az iCloud-tárhely funkcióit

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24207: 风沐云烟 (binary_fmyy) és Minghao Lin (@Y1nKoc), YingQi Shi (@Mas0nShi, DBAppSecurity's WeBin lab)

StorageKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-30449: egy anonim kutató, Arsenii Kostromin (0x3c3e)

StorageKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-24253: Mickey Jin (@patch1t), Csaba Fitzl Csaba (@theevilbit, Kandji)

StorageKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2025-31188: Mickey Jin (@patch1t)

StorageKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2025-24240: Mickey Jin (@patch1t)

System Settings

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-24278: Zhongquan Li (@Guluisacat)

SystemMigration

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Rosszindulatú alkalmazások bizonyos esetekben szimbolikus hivatkozásokat tudtak létrehozni a lemez védett régióihoz

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-30457: Mickey Jin (@patch1t)

Voice Control

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a kontaktokhoz.

Leírás: Hatékonyabb fájlkezeléssel hárítottuk el a problémát.

CVE-2025-24279: Mickey Jin (@patch1t)

WindowServer

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-24247: PixiePoint Security

WindowServer

A következőhöz érhető el: macOS Sonoma.

Hatás: Egy alkalmazás képes lehetett becsapni a felhasználót, hogy érzékeny adatokat másoljon a vágólapra.

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2025-24241: Andreas Hegenberg (folivora.AI GmbH)

Xsan

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2025-24266: anonim kutató

Xsan

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-24265: anonim kutató

Xsan

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2025-24157: anonim kutató

zip

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-31198: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft)

További köszönetnyilvánítás

AirPlay

Köszönjük Uri Katz (Oligo Security) segítségét.

configd

Köszönjük Andrei-Alexandru Bleorțu segítségét.

Security

Köszönjük Kevin Jones (GitHub) segítségét.

Shortcuts

Szeretnénk megköszönni Chi Yuan Chang (ZUSO ART) és taikosoup segítségét.

SMB

Szeretnénk megköszönni Dave G. (Supernetworks) segítségét.