macOS Sequoia 15.3のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2025年1月27日リリース
対象OS:macOS Sequoia
影響:ローカルネットワーク上の攻撃者にプロセスメモリを破損される可能性がある。
説明:入力検証における脆弱性に対処しました。
CVE-2025-24126:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象OS:macOS Sequoia
影響:ローカルネットワーク上の攻撃者にアプリを突然終了される可能性がある。
説明:チェックを強化し、型の取り違え(type confusion)の脆弱性に対処しました。
CVE-2025-24129:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象OS:macOS Sequoia
影響:ローカルネットワーク上の攻撃者からサービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24131:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象OS:macOS Sequoia
影響:ローカルネットワーク上の攻撃者からサービス運用妨害を受ける可能性がある。
説明:入力検証を強化し、ヌルポインタ逆参照に対処しました。
CVE-2025-24177:Uri Katz氏(Oligo Security)
CVE-2025-24179:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象OS:macOS Sequoia
影響:ローカルネットワーク上の攻撃者にプロセスメモリを破損される可能性がある。
説明:チェックを強化し、型の取り違え(type confusion)の脆弱性に対処しました。
CVE-2025-24137:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象OS:macOS Sequoia
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:アクセス権のチェックを追加で設けることで、この問題に対処しました。
CVE-2025-24087:Mickey Jin氏(@patch1t)
対象OS:macOS Sequoia
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24112:D4m0n氏
対象OS:macOS Sequoia
影響:アプリがユーザの連絡先に関する情報にアクセスできる可能性がある。
説明:制限を強化し、ロジックの脆弱性に対処しました。
CVE-2025-24100:Kirin氏(@Pwnrin)
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。
CVE-2025-24109:Bohdan Stasiuk氏(@Bohdan_Stasiuk)
対象OS:macOS Sequoia
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-24114:Mickey Jin氏(@patch1t)
対象OS:macOS Sequoia
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2025-24121:Mickey Jin氏(@patch1t)
対象OS:macOS Sequoia
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:Intel搭載モデルのMacコンピュータでダウングレードの問題が起きていましたが、コード署名の制限を追加することで対処しました。
CVE-2025-24122:Mickey Jin氏(@patch1t)
対象OS:macOS Sequoia
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24127:Minghao Lin氏(@Y1nKoc)、babywu氏、浙江大学のXingwei Lin氏
対象OS:macOS Sequoia
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。
CVE-2025-24106:CyberservalのWang Yu氏
2025年8月28日に更新
対象OS:macOS Sequoia
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24160:Google Threat Analysis Group
CVE-2025-24161:Google Threat Analysis Group
CVE-2025-24163:Google Threat Analysis Group
対象OS:macOS Sequoia
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24123:Trend Micro Zero Day Initiativeに協力するDesmond氏
CVE-2025-24124:Trend Micro Zero Day Initiativeに協力するPwn2carおよびRotiple(HyeongSeok Jang氏)
対象OS:macOS Sequoia
影響:悪意のあるアプリケーションに権限を昇格される可能性がある。Appleでは、iOS 17.2より前のバージョンのiOSで、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2025-24085
対象OS:macOS Sequoia
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24184:Song Hyun Bae氏(@bshyuunn)、Lee Dong Ha氏(Who4mI)
2025年5月16日追加
対象OS:macOS Sequoia
影響:アプリがユーザの位置情報を判断できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24102:Kirin氏(@Pwnrin)
対象OS:macOS Sequoia
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。
CVE-2025-24111:CyberservalのWang Yu氏
2025年5月12日に追加
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:プライバシー管理を改善することで、情報漏洩の脆弱性に対処しました。
CVE-2025-24134:Kirin氏(@Pwnrin)
対象OS:macOS Sequoia
影響:インターネットからダウンロードしたファイルに隔離フラグが適用されていない場合がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2025-24140:Matej Moravec氏(@MacejkoMoravec)
対象OS:macOS Sequoia
影響:アプリがプライバシーの環境設定を回避する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24174:Arsenii Kostromin氏(0x3c3e)、Joshua Jones氏
対象OS:macOS Sequoia
影響:画像を処理すると、サービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24086:Enki WhiteHatのDongJun Kim氏(@smlijun)およびJongSeong Kim氏(@nevul37)、D4m0n氏
対象OS:macOS Sequoia
影響:アプリが重要なカーネル状態を漏洩させる可能性がある。
説明:脆弱なコードを削除することで、情報漏洩の脆弱性に対処しました。
CVE-2025-24144:Mateusz Krzywicki氏(@krzywix)
2025年5月12日に追加
対象OS:macOS Sequoia
影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24118:MIT CSAILのJoseph Ravichandran氏(@0xjprx)
対象OS:macOS Sequoia
影響:悪意のあるアプリがルート権限を取得できる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-24107:匿名の研究者
対象OS:macOS Sequoia
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:ロジックを改良し、検証の脆弱性に対処しました。
CVE-2025-24159:pattern-f氏(@pattern_F)
対象OS:macOS Sequoia
影響:アプリがサンドボックスの外部で、または昇格した特定の権限で任意のコードを実行できる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2025-24119:匿名の研究者
2025年7月29日に追加
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:検証を追加することで、競合状態に対処しました。
CVE-2025-24094:匿名の研究者
対象OS:macOS Sequoia
影響:アプリがそのサンドボックスの外側にあるファイルを読み取れる可能性がある。
説明:検証を強化して、パスの処理における脆弱性に対処しました。
CVE-2025-24115:匿名の研究者
対象OS:macOS Sequoia
影響:アプリがプライバシーの環境設定を回避する可能性がある。
説明:サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。
CVE-2025-24116:匿名の研究者
対象OS:macOS Sequoia
影響:アプリがユーザの指紋を採ることができる場合がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2025-24117:Michael(Biscuit)Thomas氏(@biscuit@social.lol)
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2024-55549:Google Project ZeroのIvan Fratric氏
CVE-2025-24855:Google Project ZeroのIvan Fratric氏
2025年5月16日追加
対象OS:macOS Sequoia
影響:悪意のあるアプリがディスクの保護された領域へのシンボリックリンクを作成できる可能性がある。
説明:シンボリックリンクの検証を改善することで、この問題に対処しました。
CVE-2025-24136:风氏(binary_fmyy)、Minghao Lin@氏(Y1nKoc)
2025年5月16日追加
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2025-24101:Kirin氏(@Pwnrin)
対象OS:macOS Sequoia
影響:悪意のあるアプリが任意のファイルにアクセスできる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2025-24096:匿名の研究者
対象OS:macOS Sequoia
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-31262:Mickey Jin氏(@patch1t)
2025年5月16日追加
対象OS:macOS Sequoia
影響:ローカルの攻撃者が権限を昇格できる場合がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24099:Mickey Jin氏(@patch1t)
2025年1月29日に追加
対象OS:macOS Sequoia
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24130:Pedro Tôrres氏(@t0rr3sp3dr0)
対象OS:macOS Sequoia
影響:悪意を持って作成されたアプリがブラウザ拡張機能による認証を回避できる可能性がある。
説明:データの墨消しを改善することでログ入力の問題に対処しました。
CVE-2025-24169:Josh Parnham氏(@joshparnham)
対象OS:macOS Sequoia
影響:ローカルユーザが、ファイルシステムの保護された部分を変更できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24183:Arsenii Kostromin氏(0x3c3e)
2025年5月16日追加
対象OS:macOS Sequoia
影響:「メッセージ」のチャットを削除すると、システムログ記録にユーザの連絡先情報が漏洩する可能性がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2025-24146:神罚氏(@Pwnrin)
対象OS:macOS Sequoia
影響:悪意のあるWebサイトにアクセスすると、アドレスバーを偽装される可能性がある。
説明:追加ロジックを追加することで、この問題に対処しました。
CVE-2025-24128:@RenwaX23氏
対象OS:macOS Sequoia
影響:悪意のあるWebサイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。
説明:UIを改善することで、この問題を解決しました。
CVE-2025-24113:@RenwaX23氏
対象OS:macOS Sequoia
影響:ファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2025-24149:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
対象OS:macOS Sequoia
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:シンボリックリンクの検証を改善することで、この問題に対処しました。
CVE-2025-24103:Zhongquan Li氏(@Guluisacat)
対象OS:macOS Sequoia
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。
CVE-2025-24108:匿名の研究者
対象OS:macOS Sequoia
影響:悪意を持って作成されたファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。
CVE-2025-24185:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
2025年3月17日に追加
対象OS:macOS Sequoia
影響:悪意を持って作成されたファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24139:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)、Junsung Lee氏
2025年5月16日追加
対象OS:macOS Sequoia
影響:アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24151:匿名の研究者
CVE-2025-24152:匿名の研究者
対象OS:macOS Sequoia
影響:ルート権限を持つアプリが、カーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。
CVE-2025-24153:匿名の研究者
対象OS:macOS Sequoia
影響:悪意のあるアプリケーションにより、機微なユーザ情報が漏洩する可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2025-24138:Lupus NovaのRodolphe BRUNETTI氏(@eisw0lf)
対象OS:macOS Sequoia
影響:悪意のあるアプリがルート権限を取得できる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-24107:匿名の研究者
対象OS:macOS Sequoia
影響:ローカルの攻撃者が権限を昇格できる場合がある。
説明:検証を改良し、アクセス許可の脆弱性に対処しました。
CVE-2025-24176:Alter SolutionsのYann GASCUEL氏
対象OS:macOS Sequoia
影響:アプリに昇格した権限を取得される可能性がある。
説明:この問題は、メッセージの検証を強化することで解決されました。
CVE-2025-24135:Arsenii Kostromin氏(0x3c3e)
対象OS:macOS Sequoia
影響:アプリが連絡先の電話番号をシステムログで確認できる場合がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2025-24145:Kirin氏(@Pwnrin)
対象OS:macOS Sequoia
影響:アプリが機微な位置情報を読み取れる可能性がある。
説明:この問題は、データ保護を強化することで解決されました。
CVE-2025-24092:Adam M.氏
対象OS:macOS Sequoia
影響:アプリがカーネルメモリを漏洩させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24155:匿名の研究者
2025年5月12日に追加
対象OS:macOS Sequoia
影響:攻撃者によって突然システムが終了されたり、カーネルメモリが破損される可能性がある。
説明:入力検証を強化することで、領域外書き込みに対処しました。
CVE-2025-24154:匿名の研究者
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:284332
CVE-2025-24189:匿名の研究者
2025年5月16日追加
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebページが、ユーザを一意に識別するデータを作成できる場合がある。
説明:ファイルシステムへのアクセス制御を改善することで、この問題に対処しました。
WebKit Bugzilla:283117
CVE-2025-24143:匿名の研究者
対象OS:macOS Sequoia
影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:283889
CVE-2025-24158:NUS CuriOSityのQ1IQ氏(@q1iqF)およびImperial Global SingaporeのP1umer氏(@p1umer)
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
WebKit Bugzilla:284159
CVE-2025-24162:HKUS3Labのlinjy氏およびWHUSecLabのchluo氏
対象OS:macOS Sequoia
影響:WebインスペクタからURLをコピーすると、コマンドインジェクションを引き起こす場合がある。
説明:ファイルの処理を改善することで、プライバシーの問題に対処しました。
WebKit Bugzilla:283718
CVE-2025-24150:Johan Carlsson氏(joaxcar)
対象OS:macOS Sequoia
影響:攻撃者にアプリを突然終了される可能性がある。
説明:この問題は、オブジェクトの有効期間の管理を改善することで解決されました。
CVE-2025-24120:PixiePoint Security
対象OS:macOS Sequoia
影響:アプリが権限を昇格させることが可能な場合がある。
説明:入力検証を強化することで、整数オーバーフローに対処しました。
CVE-2025-24156:匿名の研究者
Uri Katz氏(Oligo Security)のご協力に感謝いたします。
2025年4月28日に追加
Google Threat Analysis Groupのご協力に感謝いたします。
Google Threat Analysis Groupのご協力に感謝いたします。
匿名の研究者のご協力に感謝いたします。
ZUSO ARTおよびtaikosoupのChi Yuan Chang氏のご協力に感謝いたします。
Lakshmi Narain College of Technology(インド、ボーパール)のAbhay Kailasia氏(@abhay_kailasia)、George Kovaios氏、Srijan Poudel氏のご協力に感謝いたします。
2025年5月16日追加
Mysk Inc. @mysk_coのTalal Haj Bakry氏およびTommy Mysk氏のご協力に感謝いたします。
Holger Fuhrmannek氏のご協力に感謝いたします。
Bistrit Dahal氏、Dalibor Milanovic氏のご協力に感謝いたします。