Informazioni sui contenuti di sicurezza di macOS Sonoma 14.8

In questo documento vengono descritti i contenuti di sicurezza di macOS Sonoma 14.8.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

macOS Sonoma 14.8

AMD

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2025-43312: ABC Research s.r.o.

AppKit

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: il problema è stato risolto evitando che i servizi non registrati vengano avviati sui Mac con Intel.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Online Store Kit

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-31268: Csaba Fitzl (@theevilbit) e Nolan Astrein di Kandji

AppSandbox

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

CoreAudio

Disponibile per: macOS Sonoma

Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-43349: @zlluny in collaborazione con Trend Zero Day Initiative

CoreAudio

Disponibile per: macOS Sonoma

Impatto: l'elaborazione di un file audio dannoso può danneggiare la memoria.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-43277: Threat Analysis Group di Google

CoreMedia

Disponibile per: macOS Sonoma

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni della sandbox aggiuntive.

CVE-2025-43273: Seo Hyun-gyu (@wh1te4ever), Minghao Lin (@Y1nKoc), 风 (binaryfmyy), BochengXiang(@Crispr) e YingQi Shi (@Mas0nShi), Dora Orak

CoreServices

Disponibile per: macOS Sonoma

Impatto: un'app dannosa potrebbe accedere a informazioni private

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-43305: un ricercatore anonimo, Mickey Jin (@patch1t)

GPU Drivers

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-43326: Wang Yu di Cyberserval

IOHIDFamily

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-43302: Keisuke Hosoda

IOKit

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-31255: Csaba Fitzl (@theevilbit) di Kandji

Kernel

Disponibile per: macOS Sonoma

Impatto: un socket server UDP collegato a un'interfaccia locale potrebbe collegarsi a tutte le interfacce.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-43231: Mickey Jin (@patch1t), Kirin@Pwnrin e LFY@secsys della Fudan University, un ricercatore anonimo

libc

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe essere in grado di causare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

Disponibile per: macOS Sonoma

Impatto: l'elaborazione di una stringa dannosa può danneggiare la memoria heap.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MediaLibrary

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2025-43319: Hikerell (Loadshine Lab)

MigrationKit

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) di Lupus Nova

MobileStorageMounter

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe essere in grado di causare un'interruzione del servizio.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-43355: Dawuge del Team Shuffle

Notification Center

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere alle informazioni di contatto correlate alle notifiche nel Centro Notifiche.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2025-43301: LFY@secsys della Fudan University

PackageKit

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2025-43298: un ricercatore anonimo

Perl

Disponibile per: macOS Sonoma

Impatto: diversi problemi presenti in Perl.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-40909

Printing

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-31269: Zhongcheng Li di IES Red Team di ByteDance

Ruby

Disponibile per: macOS Sonoma

Impatto: l'elaborazione di un file potrebbe causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-27280

Screenshots

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe essere in grado di acquisire uno screenshot di un'app quando si entra o si esce dalla modalità a tutto schermo.

Descrizione: un problema di privacy è stato risolto attraverso migliori controlli.

CVE-2025-31259: un ricercatore anonimo

Security Initialization

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema di bypass della quarantena dei file è stato risolto con ulteriori controlli.

CVE-2025-43332: un ricercatore anonimo

SharedFileList

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto con una migliore convalida dell'input.

CVE-2025-43293: un ricercatore anonimo

SharedFileList

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema relativo ai permessi è stato risolto rimuovendo il codice vulnerabile.

CVE-2025-43291: Ye Zhang di Baidu Security

SharedFileList

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-43286: pattern-f (@pattern_F_), @zlluny

Shortcuts

Disponibile per: macOS Sonoma

Impatto: un comando rapido può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni della sandbox aggiuntive.

CVE-2025-43358: 정답이 아닌 해답

Siri

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di privacy è stato risolto spostando i dati sensibili.

CVE-2025-43367: Kirin (@Pwnrin), Cristian Dinca di “Tudor Vianu” National High School of Computer Science, Romania

Spell Check

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) di Lupus Nova

Storage

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-43341: un ricercatore anonimo

StorageKit

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2025-43304: Mickey Jin (@patch1t)

Touch Bar

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2025-43311: un ricercatore anonimo, Justin Elliot Fu

Touch Bar Controls

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2025-43308: un ricercatore anonimo

WindowServer

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe indurre un utente a copiare dati sensibili sugli appunti

Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-43310: un ricercatore anonimo

Altri riconoscimenti

Airport

Ringraziamo Csaba Fitzl (@theevilbit) di Kandji per l'assistenza.

libpthread

Ringraziamo Nathaniel Oh (@calysteon) per l'assistenza.

libxml2

Ringraziamo Nathaniel Oh (@calysteon), Sergei Glazunov di Google Project Zero per l'assistenza.

SharedFileList

Ringraziamo Ye Zhang si Baidu Security per l'assistenza.

Wi-Fi

Ringraziamo Csaba Fitzl (@theevilbit) of Kandji, Noah Gregory (wts.dev), Wojciech Regula di SecuRing (wojciechregula.blog), un ricercatore anonimo per l'assistenza.