A macOS Sonoma 14.7.6 biztonsági változásjegyzéke

Ez a dokumentum a macOS Sonoma 14.7.6 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Sonoma 14.7.6

afpfs

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy rosszindulatú célból létrehozott AFP-szerverhez való csatlakozás kárt okozhat a kernelmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-31246: Joseph Ravichandran (@0xjprx, MIT CSAIL)

afpfs

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy rosszindulatúan létrehozott AFP-hálózat csatlakoztatása a rendszer leállásához vezethetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-31240: Dave G.

CVE-2025-31237: Dave G.

AppleJPEG

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória

Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.

CVE-2025-31251: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-31235: Dillon Franke a Google Project Zero keretében

CoreAudio

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31208: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-31196: wac, a Trend Micro Zero Day Initiative közreműködőjeként

CoreGraphics

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-31209: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-31239: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória

Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.

CVE-2025-31233: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

DiskArbitration

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.

CVE-2025-30453: Csaba Fitzl (@theevilbit, Kandji) és egy anonim kutató

DiskArbitration

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24258: Csaba Fitzl (@theevilbit, Kandji) és egy anonim kutató

iCloud Document Sharing

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy a támadó hitelesítés nélkül is bekapcsolhatta az iCloud mappa megosztását

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-30448: Lyutoon és YenKoc, Dayton Pidhirney (Atredis Partners)

Installer

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az elkülönített alkalmazások képesek lehetnek hozzáférni bizalmas felhasználói adatokhoz

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-31232: anonim kutató

Kernel

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-31219: Michael DePlante (@izobashi) és Lucas Leong (@_wmliang_) (Trend Micro Zero Day Initiative)

Kernel

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-31241: Christian Kohlschütter

libexpat

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Több probléma a libexpatban, beleértve a váratlan alkalmazásleállást vagy tetszőleges kód végrehajtását

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-8176

Libinfo

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások meg tudták kerülni az ASLR-t.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-30440: Paweł Płatek (Trail of Bits)

mDNSResponder

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.

Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Mobile Device Service

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: A sebezhető kód eltávolításával elhárítottunk egy bevitelvalidálással kapcsolatos problémát.

CVE-2025-24274: anonim kutató

Notification Center

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2025-24142: LFY@secsys (Fudan University)

OpenSSH

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az OpenSSH több biztonsági rése.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-26465

CVE-2025-26466

Pro Res

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-31245: wac

Sandbox

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-31224: Fitzl Csaba (@theevilbit, Kandji)

Security

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2025-31221: Dave G.

Security

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások bizonyos esetekben hozzá tudtak férni a kapcsolódó felhasználónevekhez és webhelyekhez a felhasználó iCloud-kulcskarikáján.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-31213: Kirin (@Pwnrin) és 7feilee

SharedFileList

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A támadók hozzáférést szerezhettek a fájlrendszer védett részeihez

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2025-31247: anonim kutató

SoftwareUpdate

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni

Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.

CVE-2025-30442: anonim kutató

StoreKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2025-31242: Eric Dorphy (Twin Cities App Dev LLC)

Weather

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A rosszindulatú alkalmazások bizonyos esetekben be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2025-31220: Adam M.

WebContentFilter

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24155: anonim kutató

További köszönetnyilvánítás

Kernel

Köszönjük egy anonim kutató segítségét.

Shortcuts

Köszönjük Candace Jensen (Kandji), Chi Yuan Chang (ZUSO ART) segítségét.