A macOS Sequoia 15.7 biztonsági változásjegyzéke

A macOS Sequoia 15.7 biztonsági változásjegyzéke.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Sequoia 15.7

AMD

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2025-43312: ABC Research s.r.o.

AppKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: Megakadályoztuk, hogy az Intel chipes Maceken elinduljanak az alá nem írt szolgáltatások, és ezzel megoldottuk a problémát.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Online Store Kit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-31268: Csaba Fitzl (@theevilbit) és Nolan Astrein (Kandji)

AppSandbox

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

ATS

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-43330: Bilal Siddiqui

CoreAudio

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2025-43349: @zlluny a Trend Zero Day Initiative kezdeményezésének közreműködőjeként

CoreMedia

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2025-43292: Csaba Fitzl (@theevilbit) és Nolan Astrein (Kandji)

CoreServices

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-43305: egy anonim kutató, Mickey Jin (@patch1t)

GPU Drivers

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-43326: Wang Yu (Cyberserval)

IOHIDFamily

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2025-43302: Keisuke Hosoda

IOKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2025-31255: Fitzl Csaba (@theevilbit, Kandji)

Kernel

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egy helyi interfészhez kötött UDP-szerversocketnél előfordulhat, hogy az összes interfészhez kapcsolódik

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2025-43359: Viktor Oreshkin

libc

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

A következőhöz érhető el: macOS Sequoia

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MediaLibrary

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-43319: Hikerell (Loadshine Lab)

MigrationKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf, Lupus Nova)

MobileStorageMounter

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2025-43355: Dawuge, Shuffle Team

Notification Center

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes appok hozzá tudtak férni az Értesítési központban megjelenő értesítések kapcsán a kontaktok adataihoz.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2025-43301: LFY@secsys (Fudan University)

PackageKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2025-43298: anonim kutató

Perl

A következőhöz érhető el: macOS Sequoia

Érintett terület: A Perl több biztonsági rése.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-40909

Ruby

A következőhöz érhető el: macOS Sequoia

Érintett terület: A létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-27280

Screenshots

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes appok képernyőképet tudtak készíteni, amikor az app belépett a teljes képernyős módból, illetve amikor kilépett belőle.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy adatvédelmi hibát.

CVE-2025-31259: anonim kutató

Security Initialization

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További ellenőrzésekkel elhárítottuk a fájlkarantén megkerülését.

CVE-2025-43332: anonim kutató

SharedFileList

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2025-43293: anonim kutató

SharedFileList

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: A veszélynek kitett kód eltávolításával hárítottunk el egyengedélyezési problémát.

CVE-2025-43291: Ye Zhang (Baidu Security)

SharedFileList

A következőhöz érhető el: macOS Sequoia

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43286: pattern-f (@pattern_F_), @zlluny

Shortcuts

A következőhöz érhető el: macOS Sequoia

Érintett terület: A parancsikonok bizonyos esetekben meg tudták kerülni a sandbox korlátozásait.

Leírás: További korlátozásokkal elhárítottunk egy sandbox-engedélyekkel kapcsolatos hibát.

CVE-2025-43358: 정답이 아닌 해답

Spell Check

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf, Lupus Nova)

StorageKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2025-43304: Mickey Jin (@patch1t)

Touch Bar

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-43311: egy anonim kutató, Justin Elliot Fu

Touch Bar Controls

A következőhöz érhető el: macOS Sequoia

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-43308: anonim kutató

WindowServer

A következőhöz érhető el: macOS Sequoia

Hatás: Egy alkalmazás képes lehetett becsapni a felhasználót, hogy érzékeny adatokat másoljon a vágólapra.

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2025-43310: anonim kutató

További köszönetnyilvánítás

Airport

Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.

ImageIO

Köszönjük DongJun Kim (@smlijun) és JongSeong Kim (@nevul37) (Enki WhiteHat) segítségét.

libpthread

Köszönjük Nathaniel Oh (@calysteon) segítségét.

libxml2

Köszönjük Nathaniel Oh (@calysteon) segítségét.

SharedFileList

Köszönjük Ye Zhang (Baidu Security) segítségét.

Wi-Fi

Köszönjük Csaba Fitzl (@theevilbit, Kandji), Noah Gregory (wts.dev), Wojciech Regula (SecuRing, wojciechregula.blog), egy anonim kutató segítségét.