A macOS Sonoma 14.7.7 biztonsági változásjegyzéke

Ez a dokumentum a macOS Sonoma 14.7.7 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Sonoma 14.7.7

Admin Framework

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-43191: Ryan Dowd (@_rdowd)

afclip

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43186: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

AMD

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2025-43244: ABC Research s.r.o.

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-31243: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott alkalmazás tetszőleges bináris fájlokat tudott elindítani egy megbízható eszközön

Leírás: Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2025-43253: Noah Gregory (wts.dev)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43249: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2025-43248: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További kódaláírási korlátozásokkal elhárítottunk egy alacsonyabb szintre váltással kapcsolatos hibát.

CVE-2025-43245: Mickey Jin (@patch1t)

CFNetwork

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a kétszeres felszabadítást előidéző problémát.

CVE-2025-43222: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

CFNetwork

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A jogosultsággal nem rendelkező felhasználók módosítani tudták a korlátozott hálózati beállításokat.

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2025-43223: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

copyfile

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-43220: Mickey Jin (@patch1t)

Core Services

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.

CVE-2025-43199: anonim kutató, Gergely Kalman (@gergely_kalman)

CoreMedia

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43210: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreServices

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hiba lépett fel a környezeti változók elemzésekor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.

CVE-2025-43195: 风沐云烟 (@binary_fmyy) és Minghao Lin (@Y1nKoc)

Disk Images

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy hdiutil parancs futtatása bizonyos esetekben váratlan kódvégrehajtáshoz vezetett

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-43187: 风沐云烟 (@binary_fmyy) és Minghao Lin (@Y1nKoc)

Dock

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-43198: Mickey Jin (@patch1t)

file

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-43254: 2ourc3 | Salim Largo

File Bookmark

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43261: anonim kutató

Find My

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-31279: Dawuge, Shuffle Team

Finder

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy alkalmazás bizonyos esetekben tetszőleges kódot tudott végrehajtani a tesztkörnyezetéből vagy bizonyos magasabb jogosultsági szint mellett.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-24119: anonim kutató

GPU Drivers

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-43255: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2025-43284: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

ICU

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43209: Gary Kwong a Trend Micro Zero Day Initiative közreműködőjeként

ImageIO

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-43226

LaunchServices

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy alkalmazás bizonyos esetekben tetszőleges kódot tudott végrehajtani a tesztkörnyezetéből vagy bizonyos magasabb jogosultsági szint mellett.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-24119: anonim kutató

libxpc

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-43196: anonim kutató

libxslt

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-7424: Ivan Fratric (Google Project Zero)

Managed Configuration

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Továbbra is lehetséges maradt a fiókhoz kötött felhasználó regisztráció, hiába volt bekapcsolva a Zárt mód

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2025-43192: Pyrophoria

NetAuth

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2025-43275: Fitzl Csaba (@theevilbit, Kandji)

Notes

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a helyi hálózathoz.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2025-43270: Minqiang Gui

Notes

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-43225: Kirin (@Pwnrin)

NSSpellChecker

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43266: Noah Gregory (wts.dev)

PackageKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások el tudták téríteni a más magas jogosultságú alkalmazásoknak adott jogosultságokat

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2025-43260: Zhongquan Li (@Guluisacat)

PackageKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A gyökérszintű jogosultságokkal rendelkező rosszindulatú alkalmazás módosíthatja a rendszerfájlok tartalmát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43247: Mickey Jin (@patch1t)

PackageKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-43194: Mickey Jin (@patch1t)

PackageKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43232: Koh M. Nakagawa (@tsunek0h), Csaba Fitzl (@theevilbit), Kandji és Gergely Kalman (@gergely_kalman)

Power Management

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2025-43236: Dawuge, Shuffle Team

SceneKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások adott esetben képesek voltak fájlokat olvasni a tesztkörnyezeten kívül

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43241: Mickey Jin (@patch1t)

Security

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egy HTTPS-proxyként működő kártékony alkalmazás hozzáférhetett érzékeny felhasználói adatokhoz.

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2025-43233: Wojciech Regula (SecuRing, wojciechregula.blog)

SecurityAgent

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43193: Dawuge, Shuffle Team

SharedFileList

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-43250: Yuebin Sun (@yuebinsun2020), Mickey Jin (@patch1t)

Shortcuts

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A parancsok meg tudták kerülni a Parancsok alkalmazás érzékeny beállításait.

Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.

CVE-2025-43184: Fitzl Csaba (@theevilbit, Kandji)

Single Sign-On

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-43197: Shang-De Jiang és Kazma Ye, CyCraft Technology

sips

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43239: Nikolai Skliarenko, Trend Micro Zero Day Initiative

Software Update

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43243: Mickey Jin (@patch1t), Keith Yeo (@kyeojy), Team Orca, Sea Security

Spotlight

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-43246: Mickey Jin (@patch1t)

StorageKit

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-43256: anonim kutató

System Settings

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2025-43206: Zhongquan Li (@Guluisacat)

WebContentFilter

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott alkalmazás olvasni tudta a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43189: anonim kutató

WindowServer

A következőhöz érhető el: macOS Sonoma.

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2025-43259: Martti Hütt

Xsan

A következőhöz érhető el: macOS Sonoma.

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2025-43238: anonim kutató

További köszönetnyilvánítás

CoreAudio

Köszönjük @zlluny, Noah Weinberg segítségét.

Device Management

Köszönjük Al Karak segítségét.

Game Center

Köszönjük YingQi Shi (@Mas0nShi, DBAppSecurity, WeBin lab) segítségét.

libxslt

Köszönjük Ivan Fratric (Google Project Zero) segítségét.

Shortcuts

Köszönjük Chi Yuan Chang (ZUSO ART), taikosoup és Dennis Kniep segítségét.

WebDAV

Köszönjük Christian Kohlschütter segítségét.