A macOS Sequoia 15.5 biztonsági változásjegyzéke

Ez a dokumentum a macOS Sequoia 15.5 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Sequoia 15.5

afpfs

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egy rosszindulatú célból létrehozott AFP-szerverhez való csatlakozás kárt okozhat a kernelmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-31246: Joseph Ravichandran (@0xjprx, MIT CSAIL)

afpfs

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egy rosszindulatúan szerkesztett AFP-alapú hálózati megosztás csatlakoztatása a rendszer leállásához vezethetett

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-31240: Dave G.

CVE-2025-31237: Dave G.

Apple Intelligence Reports

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-31260: Thomas Völkl (@vollkorntomate), SEEMOO, TU Darmstadt

AppleJPEG

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.

CVE-2025-31251: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-31235: Dillon Franke a Google Project Zero keretében

BOM

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24222: wac, a Trend Micro Zero Day Initiative közreműködőjeként

Core Bluetooth

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-31212: Guilherme Rambo (Best Buddy Apps, rambo.codes)

CoreAudio

A következőhöz érhető el: macOS Sequoia

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31208: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

A következőhöz érhető el: macOS Sequoia

Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-31209: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

A következőhöz érhető el: macOS Sequoia

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy use-after-free (UAF) problémát.

CVE-2025-31239: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória

Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.

CVE-2025-31233: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Finder

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az adatvédelmi ellenőrzések fejlesztésével megoldottuk az információmegjelenítési problémát.

CVE-2025-31236: Kirin@Pwnrin és LFY@secsys (Fudan University)

Found in Apps

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el azt az adatvédelmi problémát.

CVE-2025-30443: Bohdan Stasiuk (@bohdan_stasiuk)

ImageIO

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egy rosszindulatú célból létrehozott kép feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-31226: Saagar Jha

Installer

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az elkülönített alkalmazások képesek lehetnek hozzáférni bizalmas felhasználói adatokhoz

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-31232: anonim kutató

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: A távoli támadók bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-31241: Christian Kohlschütter

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-31219: Michael DePlante (@izobashi) és Lucas Leong (@_wmliang_, Trend Micro Zero Day Initiative)

libexpat

A következőhöz érhető el: macOS Sequoia

Érintett terület: Több probléma a libexpatban, beleértve a váratlan alkalmazásleállást vagy tetszőleges kód végrehajtását.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-8176

Libinfo

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások meg tudták kerülni az ASLR-t

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-30440: Paweł Płatek (Trail of Bits)

mDNSResponder

A következőhöz érhető el: macOS Sequoia

Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.

Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Mobile Device Service

A következőhöz érhető el: macOS Sequoia

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a bevitt adatok érvényesítési problémáját.

CVE-2025-24274: anonim kutató

NetworkExtension

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egy alkalmazás bizonyos esetekben meg tudta figyelni az új hálózati kapcsolatok hosztneveit.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-31218: Adam M.

Notes

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az aktív sarok váratlanul felfedheti a felhasználók törölt jegyzeteit.

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-31256: Sourabhkumar Mishra

Notification Center

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2025-24142: LFY@secsys (Fudan University)

OpenSSH

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az OpenSSH több biztonsági rése.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-26465

CVE-2025-26466

Pro Res

A következőhöz érhető el: macOS Sequoia

Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.

CVE-2025-31234: CertiK (@CertiK)

Pro Res

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31245: wac

quarantine

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További ellenőrzésekkel elhárítottuk a fájlkarantén megkerülését.

CVE-2025-31244: Fitzl Csaba (@theevilbit, Kandji)

RemoteViewServices

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-31258: anonim kutató

Sandbox

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-31249: Ryan Dowd (@_rdowd)

Sandbox

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-31224: Fitzl Csaba (@theevilbit, Kandji)

Security

A következőhöz érhető el: macOS Sequoia

Érintett terület: Távoli támadók képesek lehettek memóriaszivárgások előidézésére.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2025-31221: Dave G.

Security

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások bizonyos esetekben hozzá tudtak férni a kapcsolódó felhasználónevekhez és webhelyekhez a felhasználó iCloud-kulcskarikáján.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-31213: Kirin (@Pwnrin) és 7feilee

SharedFileList

A következőhöz érhető el: macOS Sequoia

Érintett terület: A támadók hozzáférést szerezhettek a fájlrendszer védett részeihez

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2025-31247: anonim kutató

SoftwareUpdate

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni

Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.

CVE-2025-31259: anonim kutató

StoreKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2025-31242: Eric Dorphy (Twin Cities App Dev LLC)

TCC

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az adatvédelmi ellenőrzések fejlesztésével megoldottuk az információmegjelenítési problémát.

CVE-2025-31250: Noah Gregory (wts.dev)

Weather

A következőhöz érhető el: macOS Sequoia

Érintett terület: A rosszindulatú appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2025-31220: Adam M.

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy egy típustévesztés memóriasérülést idézett elő.

Leírás: A floatok hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-24213: Google V8 Security Team

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31223: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

CVE-2025-31238: wac a Trend Micro Zero Day Initiative közreműködőjeként

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31215: Jiming Wang és Jikai Ren

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-31204: Nan Wang (@eternalsakura13)

CVE-2025-24223: rheza (@ginggilBesel) és egy anonim kutató

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2025-31206: anonim kutató

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31205: Ivan Fratric (Google Project Zero)

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-31257: Juergen Schmied (Lynck GmbH)

További köszönetnyilvánítás

AirDrop

Köszönjük Dalibor Milanovic segítségét.

Foundation

Szeretnénk megköszönni Claudio Bozzato és Francesco Benvenuto (Cisco Talos) segítségét.

Kernel

Köszönjük egy anonim kutató segítségét.

Mail

Köszönjük IES Red Team (ByteDance) segítségét.

MobileGestalt

Köszönjük iisBuri segítségét.

NetworkExtension

Köszönjük Andrei-Alexandru Bleorțu, Dmytro Merkulov segítségét.

Notes

Köszönjük YingQi Shi (@Mas0nShi, DBAppSecurity, WeBin lab) segítségét.

Safari

Köszönjük @RenwaX23, Akash Labade, Narendra Bhati, a Suma Soft Pvt. Ltd. (Pune, India) kiberbiztonsági vezetőjének segítségét.

Sandbox

Köszönjük Kirin@Pwnrin és LFY@secsys (Fudan University), Tal Lossos, Zhongquan Li (@Guluisacat) segítségét.

Shortcuts

Köszönjük Candace Jensen (Kandji), Chi Yuan Chang (ZUSO ART) és taikosoup, Egor Filatov (Positive Technologies), Marcio Almeida (Tanto Security), Monnier Pascaud, Ron Masas (BREAKPOINT.SH) segítségét.

WebKit

Köszönjük Mike Dougherty és Daniel White (Google Chrome), valamint egy anonim kutató segítségét.

XProtect

Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.