macOS Sonoma 14.7.3のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2025年1月27日リリース
対象OS:macOS Sonoma
影響:ローカルネットワーク上の攻撃者にプロセスメモリを破損される可能性がある。
説明:チェックを強化し、型の取り違え(type confusion)の脆弱性に対処しました。
CVE-2025-24137:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象OS:macOS Sonoma
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24112:D4m0n氏
対象OS:macOS Sonoma
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。
CVE-2025-24109:Bohdan Stasiuk氏(@Bohdan_Stasiuk)
対象OS:macOS Sonoma
影響:アプリがユーザの連絡先に関する情報にアクセスできる可能性がある。
説明:制限を強化し、ロジックの脆弱性に対処しました。
CVE-2025-24100:Kirin氏(@Pwnrin)
対象OS:macOS Sonoma
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-24114:Mickey Jin氏(@patch1t)
対象OS:macOS Sonoma
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2025-24121:Mickey Jin氏(@patch1t)
対象OS:macOS Sonoma
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:Intel搭載モデルのMacコンピュータでダウングレードの問題が起きていましたが、コード署名の制限を追加することで対処しました。
CVE-2025-24122:Mickey Jin氏(@patch1t)
対象OS:macOS Sonoma
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24127:Minghao Lin氏(@Y1nKoc)、babywu氏、浙江大学のXingwei Lin氏
対象OS:macOS Sonoma
影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。
説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。
CVE-2024-54509:CertiK SkyFall Team
対象OS:macOS Sonoma
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。
CVE-2025-24106:CyberservalのWang Yu氏
2025年8月28日に更新
対象OS:macOS Sonoma
影響:アプリが連絡先にアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2024-44172:Kirin氏(@Pwnrin)
対象OS:macOS Sonoma
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24161:Google Threat Analysis Group
CVE-2025-24160:Google Threat Analysis Group
CVE-2025-24163:Google Threat Analysis Group
対象OS:macOS Sonoma
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24123:Trend Micro Zero Day Initiativeに協力するDesmond氏
CVE-2025-24124:Trend Micro Zero Day Initiativeに協力するPwn2carおよびRotiple(HyeongSeok Jang氏)
対象OS:macOS Sonoma
影響:アプリがユーザの位置情報を判断できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24102:Kirin氏(@Pwnrin)
対象OS:macOS Sonoma
影響:アプリがプライバシーの環境設定を回避する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24174:Arsenii Kostromin氏(0x3c3e)、Joshua Jones氏
対象OS:macOS Sonoma
影響:画像を処理すると、サービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24086:Enki WhiteHatのDongJun Kim氏(@smlijun)およびJongSeong Kim氏(@nevul37)、D4m0n氏
対象OS:macOS Sonoma
影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24118:MIT CSAILのJoseph Ravichandran氏(@0xjprx)
対象OS:macOS Sonoma
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:ロジックを改良し、検証の脆弱性に対処しました。
CVE-2025-24159:pattern-f氏(@pattern_F)
対象OS:macOS Sonoma
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:検証を追加することで、競合状態に対処しました。
CVE-2025-24094:匿名の研究者
対象OS:macOS Sonoma
影響:アプリがそのサンドボックスの外側にあるファイルを読み取れる可能性がある。
説明:検証を強化して、パスの処理における脆弱性に対処しました。
CVE-2025-24115:匿名の研究者
対象OS:macOS Sonoma
影響:アプリがプライバシーの環境設定を回避する可能性がある。
説明:サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。
CVE-2025-24116:匿名の研究者
対象OS:macOS Sonoma
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2024-55549:Google Project ZeroのIvan Fratric氏
CVE-2025-24855:Google Project ZeroのIvan Fratric氏
2025年5月16日追加
対象OS:macOS Sonoma
影響:悪意のあるアプリがディスクの保護された領域へのシンボリックリンクを作成できる可能性がある。
説明:シンボリックリンクの検証を改善することで、この問題に対処しました。
CVE-2025-24136:风氏(binary_fmyy)、Minghao Lin@氏(Y1nKoc)
2025年5月16日追加
対象OS:macOS Sonoma
影響:ローカルの攻撃者が権限を昇格できる場合がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24099:Mickey Jin氏(@patch1t)
2025年1月29日に追加
対象OS:macOS Sonoma
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24130:Pedro Tôrres氏(@t0rr3sp3dr0)
対象OS:macOS Sonoma
影響:ローカルユーザが、ファイルシステムの保護された部分を変更できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24183:Arsenii Kostromin氏(0x3c3e)
2025年5月16日追加
対象OS:macOS Sonoma
影響:「メッセージ」のチャットを削除すると、システムログ記録にユーザの連絡先情報が漏洩する可能性がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2025-24146:神罚氏(@Pwnrin)
対象OS:macOS Sonoma
影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54497:Trend Micro Zero Day Initiativeに協力する匿名の研究者
対象OS:macOS Sonoma
影響:ユーザの同意がなくてもアプリがリムーバブルボリュームにアクセスできる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-24093:Yiğit Can YILMAZ氏(@yilmazcanyigit)
対象OS:macOS Sonoma
影響:ファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2025-24149:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
対象OS:macOS Sonoma
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:シンボリックリンクの検証を改善することで、この問題に対処しました。
CVE-2025-24103:Zhongquan Li氏(@Guluisacat)
対象OS:macOS Sonoma
影響:悪意を持って作成されたファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。
CVE-2025-24185:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
2025年3月17日に追加
対象OS:macOS Sonoma
影響:悪意を持って作成されたファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24139:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)、Junsung Lee氏
2025年5月16日追加
対象OS:macOS Sonoma
影響:アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24151:匿名の研究者
対象OS:macOS Sonoma
影響:悪意のあるアプリケーションにより、機微なユーザ情報が漏洩する可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2025-24138:Lupus NovaのRodolphe BRUNETTI氏(@eisw0lf)
対象OS:macOS Sonoma
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:制限を強化し、構成の問題に対処しました。
CVE-2024-44243:MicrosoftのJonathan Bar Or氏(@yo_yo_yo_jbo)、Mickey Jin氏(@patch1t)
対象OS:macOS Sonoma
影響:ローカルの攻撃者が権限を昇格できる場合がある。
説明:検証を改良し、アクセス許可の脆弱性に対処しました。
CVE-2025-24176:Alter SolutionsのYann GASCUEL氏
対象OS:macOS Sonoma
影響:アプリが機微な位置情報を読み取れる可能性がある。
説明:この問題は、データ保護を強化することで解決されました。
CVE-2025-24092:Adam M.氏
対象OS:macOS Sonoma
影響:攻撃者によって突然システムが終了されたり、カーネルメモリが破損される可能性がある。
説明:入力検証を強化することで、領域外書き込みに対処しました。
CVE-2025-24154:匿名の研究者
対象OS:macOS Sonoma
影響:攻撃者にアプリを突然終了される可能性がある。
説明:この問題は、オブジェクトの有効期間の管理を改善することで解決されました。
CVE-2025-24120:PixiePoint Security
対象OS:macOS Sonoma
影響:アプリが権限を昇格させることが可能な場合がある。
説明:入力検証を強化することで、整数オーバーフローに対処しました。
CVE-2025-24156:匿名の研究者
Holger Fuhrmannek氏のご協力に感謝いたします。