A macOS Sequoia 15.5 biztonsági változásjegyzéke
Ez a dokumentum a macOS Sequoia 15.5 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Sequoia 15.5
Kiadás dátuma: 2025. május 12.
afpfs
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egy rosszindulatú célból létrehozott AFP-szerverhez való csatlakozás kárt okozhat a kernelmemóriában.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-31246: Joseph Ravichandran (@0xjprx, MIT CSAIL)
afpfs
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egy rosszindulatúan szerkesztett AFP-alapú hálózati megosztás csatlakoztatása a rendszer leállásához vezethetett
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2025-31240: Dave G.
CVE-2025-31237: Dave G.
Apple Intelligence Reports
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2025-31260: Thomas Völkl (@vollkorntomate), SEEMOO, TU Darmstadt
AppleJPEG
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.
Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.
CVE-2025-31251: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
Audio
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
CVE-2025-31235: Dillon Franke a Google Project Zero keretében
BOM
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-24222: wac, a Trend Micro Zero Day Initiative közreműködőjeként
Core Bluetooth
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2025-31212: Guilherme Rambo (Best Buddy Apps, rambo.codes)
CoreAudio
A következőhöz érhető el: macOS Sequoia
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-31208: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreGraphics
A következőhöz érhető el: macOS Sequoia
Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2025-31209: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreMedia
A következőhöz érhető el: macOS Sequoia
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy use-after-free (UAF) problémát.
CVE-2025-31239: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreMedia
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória
Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.
CVE-2025-31233: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
Finder
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Az adatvédelmi ellenőrzések fejlesztésével megoldottuk az információmegjelenítési problémát.
CVE-2025-31236: Kirin@Pwnrin és LFY@secsys (Fudan University)
Found in Apps
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el azt az adatvédelmi problémát.
CVE-2025-30443: Bohdan Stasiuk (@bohdan_stasiuk)
ImageIO
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egy rosszindulatú célból létrehozott kép feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2025-31226: Saagar Jha
Installer
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az elkülönített alkalmazások képesek lehetnek hozzáférni bizalmas felhasználói adatokhoz
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2025-31232: anonim kutató
Kernel
A következőhöz érhető el: macOS Sequoia
Érintett terület: A távoli támadók bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24224: Tony Iskow (@Tybbow)
Bejegyzés hozzáadva: 2025. július 29.
Kernel
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
CVE-2025-31241: Christian Kohlschütter
Kernel
A következőhöz érhető el: macOS Sequoia
Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-31219: Michael DePlante (@izobashi) és Lucas Leong (@_wmliang_, Trend Micro Zero Day Initiative)
libexpat
A következőhöz érhető el: macOS Sequoia
Érintett terület: Több probléma a libexpatban, beleértve a váratlan alkalmazásleállást vagy tetszőleges kód végrehajtását.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-8176
Libinfo
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások meg tudták kerülni az ASLR-t
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-30440: Paweł Płatek (Trail of Bits)
mDNSResponder
A következőhöz érhető el: macOS Sequoia
Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.
Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Mobile Device Service
A következőhöz érhető el: macOS Sequoia
Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a bevitt adatok érvényesítési problémáját.
CVE-2025-24274: anonim kutató
NetworkExtension
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egy alkalmazás bizonyos esetekben meg tudta figyelni az új hálózati kapcsolatok hosztneveit.
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2025-31218: Adam M.
Notes
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az aktív sarok váratlanul felfedheti a felhasználók törölt jegyzeteit.
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2025-31256: Sourabhkumar Mishra
Notification Center
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2025-24142: LFY@secsys (Fudan University)
OpenSSH
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az OpenSSH több biztonsági rése.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2025-26465
CVE-2025-26466
Pro Res
A következőhöz érhető el: macOS Sequoia
Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát
Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.
CVE-2025-31234: CertiK (@CertiK)
Pro Res
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-31245: wac
quarantine
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: További ellenőrzésekkel elhárítottuk a fájlkarantén megkerülését.
CVE-2025-31244: Fitzl Csaba (@theevilbit, Kandji)
RemoteViewServices
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2025-31258: anonim kutató
Sandbox
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2025-31249: Ryan Dowd (@_rdowd)
Sandbox
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2025-31224: Fitzl Csaba (@theevilbit, Kandji)
Security
A következőhöz érhető el: macOS Sequoia
Érintett terület: Távoli támadók képesek lehettek memóriaszivárgások előidézésére.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.
CVE-2025-31221: Dave G.
Security
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások bizonyos esetekben hozzá tudtak férni a kapcsolódó felhasználónevekhez és webhelyekhez a felhasználó iCloud-kulcskarikáján.
Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.
CVE-2025-31213: Kirin (@Pwnrin) és 7feilee
SharedFileList
A következőhöz érhető el: macOS Sequoia
Érintett terület: A támadók hozzáférést szerezhettek a fájlrendszer védett részeihez
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2025-31247: anonim kutató
SoftwareUpdate
A következőhöz érhető el: macOS Sequoia
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni
Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.
CVE-2025-31259: anonim kutató
StoreKit
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2025-31242: Eric Dorphy (Twin Cities App Dev LLC)
TCC
A következőhöz érhető el: macOS Sequoia
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Az adatvédelmi ellenőrzések fejlesztésével megoldottuk az információmegjelenítési problémát.
CVE-2025-31250: Noah Gregory (wts.dev)
Weather
A következőhöz érhető el: macOS Sequoia
Érintett terület: A rosszindulatú appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.
CVE-2025-31220: Adam M.
WebKit
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy egy típustévesztés memóriasérülést idézett elő.
Leírás: A floatok hatékonyabb kezelésével hárítottuk el a problémát.
WebKit Bugzilla: 286694
CVE-2025-24213: Google V8 Security Team
WebKit
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 289387
CVE-2025-31223: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)
WebKit Bugzilla: 289653
CVE-2025-31238: wac a Trend Micro Zero Day Initiative közreműködőjeként
WebKit
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 288814
CVE-2025-31215: Jiming Wang és Jikai Ren
WebKit
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 291506
CVE-2025-31204: Nan Wang (@eternalsakura13)
WebKit Bugzilla: 287577
CVE-2025-24223: rheza (@ginggilBesel) és egy anonim kutató
WebKit
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.
WebKit Bugzilla: 290834
CVE-2025-31206: anonim kutató
WebKit
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.
WebKit Bugzilla: 289677
CVE-2025-31217: Ignacio Sanmillan (@ulexec)
WebKit
A következőhöz érhető el: macOS Sequoia
Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 290992
CVE-2025-31205: Ivan Fratric (Google Project Zero)
WebKit
A következőhöz érhető el: macOS Sequoia
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 290985
CVE-2025-31257: Juergen Schmied (Lynck GmbH)
További köszönetnyilvánítás
AirDrop
Köszönjük Dalibor Milanovic segítségét.
Foundation
Szeretnénk megköszönni Claudio Bozzato és Francesco Benvenuto (Cisco Talos) segítségét.
Kernel
Köszönjük egy anonim kutató segítségét.
Köszönjük IES Red Team (ByteDance) segítségét.
MobileGestalt
Köszönjük iisBuri segítségét.
NetworkExtension
Köszönjük Andrei-Alexandru Bleorțu, Dmytro Merkulov segítségét.
Notes
Köszönjük YingQi Shi (@Mas0nShi, DBAppSecurity, WeBin lab) segítségét.
Safari
Köszönjük @RenwaX23, Akash Labade, Narendra Bhati, a Suma Soft Pvt. Ltd. (Pune, India) kiberbiztonsági vezetőjének segítségét.
Sandbox
Köszönjük Kirin@Pwnrin és LFY@secsys (Fudan University), Tal Lossos, Zhongquan Li (@Guluisacat) segítségét.
Shortcuts
Köszönjük Candace Jensen (Kandji), Chi Yuan Chang (ZUSO ART) és taikosoup, Egor Filatov (Positive Technologies), Marcio Almeida (Tanto Security), Monnier Pascaud, Ron Masas (BREAKPOINT.SH) segítségét.
WebKit
Köszönjük Mike Dougherty és Daniel White (Google Chrome), valamint egy anonim kutató segítségét.
XProtect
Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.