A macOS Sequoia 15.6 biztonsági változásjegyzéke

Ez a dokumentum a macOS Sequoia 15.6 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Sequoia 15.6

Admin Framework

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-43191: Ryan Dowd (@_rdowd)

afclip

A következőhöz érhető el: macOS Sequoia

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43186: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

AMD

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2025-43244: ABC Research s.r.o.

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-31243: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott alkalmazás tetszőleges bináris fájlokat tudott elindítani egy megbízható eszközön

Leírás: Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2025-43253: Noah Gregory (wts.dev)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43249: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sequoia

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2025-43248: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További kódaláírási korlátozásokkal elhárítottunk egy alacsonyabb szintre váltással kapcsolatos hibát.

CVE-2025-43245: Mickey Jin (@patch1t)

Archive Utility

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-43257: Mickey Jin (@patch1t)

CFNetwork

A következőhöz érhető el: macOS Sequoia

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a kétszeres felszabadítást előidéző problémát.

CVE-2025-43222: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

CFNetwork

A következőhöz érhető el: macOS Sequoia

Érintett terület: A jogosultsággal nem rendelkező felhasználók módosítani tudták a korlátozott hálózati beállításokat.

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2025-43223: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

copyfile

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-43220: Mickey Jin (@patch1t)

Core Services

A következőhöz érhető el: macOS Sequoia

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.

CVE-2025-43199: Gergely Kalman (@gergely_kalman), anonim kutató

CoreAudio

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor memóriasérülés történt.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43277: Google Threat Analysis Group

CoreMedia

A következőhöz érhető el: macOS Sequoia

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.

CVE-2025-43273: Seo Hyun-gyu (@wh1te4ever), Dora Orak, Minghao Lin (@Y1nKoc) és XiLong Zhang (@Resery4, Xiaomi) és noir (@ROIS) és fmyy (@风沐云烟)

CoreMedia

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43210: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia Playback

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.

CVE-2025-43230: Chi Yuan Chang (ZUSO ART) és taikosoup

CoreServices

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hiba lépett fel a környezeti változók elemzésekor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.

CVE-2025-43195: 风沐云烟 (@binary_fmyy) és Minghao Lin (@Y1nKoc)

Directory Utility

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb ellenőrzéssel elhárult egy beszúrási probléma.

CVE-2025-43267: Mickey Jin (@patch1t)

Disk Images

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egy hdiutil parancs futtatása bizonyos esetekben váratlan kódvégrehajtáshoz vezetett

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-43187: 风沐云烟 (@binary_fmyy) és Minghao Lin (@Y1nKoc)

DiskArbitration

A következőhöz érhető el: macOS Sequoia

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43188: anonim kutató

Dock

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-43198: Mickey Jin (@patch1t)

file

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-43254: 2ourc3 | Salim Largo

File Bookmark

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43261: anonim kutató

Find My

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-31279: Dawuge, Shuffle Team

GPU Drivers

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-43255: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2025-43284: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

ICU

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43209: Gary Kwong a Trend Micro Zero Day Initiative közreműködőjeként

ImageIO

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-43226

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az iCloud privát átjátszó nem aktiválódott, ha egyszerre egynél több felhasználó volt bejelentkezve.

Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.

CVE-2025-43276: Willey Lin

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43268: Gergely Kalman (@gergely_kalman), Arsenii Kostromin (0x3c3e)

libnetcore

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy a fájlok feldolgozásakor memóriasérülés történt.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43202: Brian Carpenter

libxml2

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy a fájlok feldolgozásakor memóriasérülés történt.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért lásd: cve.org.

CVE-2025-7425: Sergei Glazunov (Google Project Zero)

libxpc

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-43196: anonim kutató

libxslt

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-7424: Ivan Fratric (Google Project Zero)

Managed Configuration

A következőhöz érhető el: macOS Sequoia

Érintett terület: Továbbra is lehetséges maradt a fiókhoz kötött felhasználó regisztráció, hiába volt bekapcsolva a Zárt mód

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2025-43192: Pyrophoria

MediaRemote

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy a tesztkörnyezetben futó folyamatok bármely telepített alkalmazást el tudták indítani.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-31275: Dora Orak

Metal

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott textúrák feldolgozása váratlan alkalmazásleállást okozott.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2025-43234: Vlad Stolyarov (Google Threat Analysis Group)

Model I/O

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása kárt tudott tenni a folyamatmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43264: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

CVE-2025-43219: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

Model I/O

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2025-31281: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Model I/O

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43224: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2025-43221: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Model I/O

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor sérült a halommemória

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2025-31280: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

Model I/O

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-43218: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

Model I/O

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-43215: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

NetAuth

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2025-43275: Fitzl Csaba (@theevilbit, Kandji)

Notes

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a helyi hálózathoz.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2025-43270: Minqiang Gui

Notes

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-43225: Kirin (@Pwnrin)

NSSpellChecker

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43266: Noah Gregory (wts.dev)

PackageKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások el tudták téríteni a más magas jogosultságú alkalmazásoknak adott jogosultságokat

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2025-43260: Zhongquan Li (@Guluisacat)

PackageKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: A gyökérszintű jogosultságokkal rendelkező rosszindulatú alkalmazás módosíthatja a rendszerfájlok tartalmát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43247: Mickey Jin (@patch1t)

PackageKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-43194: Mickey Jin (@patch1t)

PackageKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43232: Koh M. Nakagawa (@tsunek0h), Csaba Fitzl (@theevilbit), Kandji és Gergely Kalman (@gergely_kalman)

Power Management

A következőhöz érhető el: macOS Sequoia

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2025-43236: Dawuge, Shuffle Team

Power Management

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43235: Dawuge (Shuffle Team)

RemoteViewServices

A következőhöz érhető el: macOS Sequoia

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el azt az adatvédelmi problémát.

CVE-2025-43274: egy anonim kutató, Hikerell (Loadshine Lab), @zlluny

Safari

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-24188: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

SceneKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben képesek voltak fájlokat olvasni a tesztkörnyezeten kívül

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43241: Mickey Jin (@patch1t)

Security

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egy HTTPS-proxyként működő kártékony alkalmazás hozzáférhetett érzékeny felhasználói adatokhoz.

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2025-43233: Wojciech Regula (SecuRing, wojciechregula.blog)

SecurityAgent

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43193: Dawuge, Shuffle Team

SharedFileList

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-43250: Mickey Jin (@patch1t), Yuebin Sun (@yuebinsun2020)

Single Sign-On

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-43197: Shang-De Jiang és Kazma Ye, CyCraft Technology

sips

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43239: Nikolai Skliarenko, Trend Micro Zero Day Initiative

Software Update

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43243: Keith Yeo (@kyeojy, Team Orca, Sea Security), Mickey Jin (@patch1t)

Spotlight

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-43246: Mickey Jin (@patch1t)

StorageKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-43256: anonim kutató

System Settings

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2025-43206: Zhongquan Li (@Guluisacat)

User Management

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy a helyi támadók hozzá tudtak férni a kulcskarikán tárolt elemekhez.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2025-43251: Mickey Jin (@patch1t)

Voice Control

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További kódaláírási korlátozásokkal elhárítottunk egy alacsonyabb szintre váltással kapcsolatos hibát.

CVE-2025-43185: Mickey Jin (@patch1t)

WebContentFilter

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott alkalmazás olvasni tudta a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43189: anonim kutató

WebContentFilter

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2025-43237: anonim kutató

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-43229: Martin Bajanik (Fingerprint), Ammar Askar

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-43227: Gilad Moav

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy egy letöltés eredetének hozzárendelése helytelenül ment végbe.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43240: Syarif Muhammad Sajjad

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43214: shandikri (a Trend Micro Zero Day Initiative közreműködőjeként), Google V8 Security Team

CVE-2025-43213: Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) és Ziling Chen

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: A rosszindulatú webes tartalmak feldolgozásának hatására a rendszer bizonyos esetekben közzétette az alkalmazás belső állapotait.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-43265: HexRabbit (@h3xr4bb1t, DEVCORE Research Team tagja)

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért lásd: cve.org.

CVE-2025-6558: Clément Lecigne és Vlad Stolyarov (Google Threat Analysis Group)

WindowServer

A következőhöz érhető el: macOS Sequoia

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2025-43259: Martti Hütt

Xsan

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2025-43238: anonim kutató

zip

A következőhöz érhető el: macOS Sequoia

Érintett terület: A weboldalak adott esetben hozzá tudtak férni bizalmas felhasználói adatokhoz szimbolikus hivatkozások feloldásakor.

Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.

CVE-2025-43252: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft)

További köszönetnyilvánítás

AppleMobileFileIntegrity

Köszönjük Mickey Jin (@patch1t) segítségét.

Bluetooth

Köszönjük LIdong LI, Xiao Wang, Shao Dong Chen és Chao Tan (Source Guard) segítségét.

Control Center

Köszönjük egy anonim kutató segítségét.

CoreAudio

Köszönjük @zlluny, Noah Weinberg segítségét.

CoreUtils

Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.

Device Management

Köszönjük Al Karak segítségét.

Find My

Köszönjük Christian Kohlschütter segítségét.

Game Center

Köszönjük YingQi Shi (@Mas0nShi, DBAppSecurity, WeBin lab) segítségét.

IOMobileFrameBuffer

Köszönjük Karol Mazurek (@Karmaz95, AFINE) segítségét.

Kernel

Köszönjük Karol Mazurek (@Karmaz95, AFINE) segítségét.

libxml2

Köszönjük Sergei Glazunov (Google Project Zero) segítségét.

libxslt

Köszönjük Ivan Fratric (Google Project Zero) segítségét.

Safari

Köszönjük Ameen Basha M K segítségét.

Shortcuts

Köszönjük Dennis Kniep segítségét.

WebDAV

Köszönjük Christian Kohlschütter segítségét.

WebKit

Köszönjük a Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei, valamint rheza (@ginggilBesel) segítségét.