macOS Sequoia 15.5のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2025年5月12日リリース
対象OS:macOS Sequoia
影響:悪意のあるAFPサーバに接続すると、カーネルメモリが破損する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-31246:MIT CSAILのJoseph Ravichandran氏(@0xjprx)
対象OS:macOS Sequoia
影響:悪意を持って作成されたAFPネットワーク共有をマウントすると、システムが終了する可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2025-31240:Dave G.氏
CVE-2025-31237:Dave G.氏
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-31260:Thomas Völkl氏(@vollkorntomate)、SEEMOO氏、TU Darmstadt氏
対象OS:macOS Sequoia
影響:悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:入力のサニタイズ処理を強化することで、この問題に対処しました。
CVE-2025-31251:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象OS:macOS Sequoia
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:メモリ管理を強化し、ダブルフリー(二重解放)の脆弱性に対処しました。
CVE-2025-31235:Google Project Zeroに協力するDillon Franke氏
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24222:Trend Micro Zero Day Initiativeに協力するwac氏
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2025-31212:Best Buddy AppsのGuilherme Rambo氏(rambo.codes)
対象OS:macOS Sequoia
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-31208:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象OS:macOS Sequoia
影響:ファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2025-31209::Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象OS:macOS Sequoia
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2025-31239:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象OS:macOS Sequoia
影響:悪意を持って作成されたビデオファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:入力のサニタイズ処理を強化することで、この問題に対処しました。
CVE-2025-31233:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:プライバシー管理を改善することで、情報漏洩の脆弱性に対処しました。
CVE-2025-31236:復旦大学のKirin氏(@Pwnrin)およびLFY氏(@secsys)
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:脆弱なコードを削除することで、プライバシーの問題に対処しました。
CVE-2025-30443:Bohdan Stasiuk氏(@bohdan_stasiuk)
対象OS:macOS Sequoia
影響:悪意を持って作成された画像を処理すると、サービス運用妨害を受ける可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2025-31226:Saagar Jha氏
対象OS:macOS Sequoia
影響:サンドボックス化されたアプリが機微なユーザデータにアクセスできる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2025-31232:匿名の研究者
対象OS:macOS Sequoia
影響:リモートの攻撃者がシステムを予期せず終了させる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24224:Tony Iskow氏(@Tybbow)
2025年7月29日に追加
対象OS:macOS Sequoia
影響:リモート攻撃者によってアプリが突然終了される可能性がある。
説明:メモリ管理を強化し、ダブルフリー(二重解放)の脆弱性に対処しました。
CVE-2025-31241:Christian Kohlschütter氏
対象OS:macOS Sequoia
影響:攻撃者によって突然システムが終了されたり、カーネルメモリが破損される可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-31219:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)およびLucas Leong氏(@_wmliang_)
対象OS:macOS Sequoia
影響:libexpatの複数の脆弱性が原因で、アプリを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2024-8176
対象OS:macOS Sequoia
影響:アプリがASLRを回避する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-30440:Paweł Płatek氏(Trail of Bits)
対象OS:macOS Sequoia
影響:ユーザが権限を昇格できる場合がある。
説明:チェックを改善して、精度の問題に対処しました。
CVE-2025-31222:Paweł Płatek氏(Trail of Bits)
対象OS:macOS Sequoia
影響:悪意のあるアプリがルート権限を取得できる可能性がある。
説明:脆弱なコードを削除することで、入力検証の脆弱性に対処しました。
CVE-2025-24274:匿名の研究者
対象OS:macOS Sequoia
影響:アプリが新しいネットワーク接続のホスト名を参照できる可能性がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
CVE-2025-31218:Adam M.氏
対象OS:macOS Sequoia
影響:ホットコーナーにユーザが削除したメモが予期せず表示される可能性がある。
説明:キャッシュの処理を改善することで、この問題に対処しました。
CVE-2025-31256:Sourabhkumar Mishra氏
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2025-24142:復旦大学のLFY@secsys氏
対象OS:macOS Sequoia
影響:OpenSSHに複数の脆弱性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2025-26465
CVE-2025-26466
対象OS:macOS Sequoia
影響:攻撃者によって突然システムが終了されたり、カーネルメモリが破損される可能性がある。
説明:入力のサニタイズ処理を強化することで、この問題に対処しました。
CVE-2025-31234:CertiK氏(@CertiK)
対象OS:macOS Sequoia
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-31245:wac氏
対象OS:macOS Sequoia
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:チェックを追加し、ファイルの隔離の回避に対処しました。
CVE-2025-31244:KandjiのCsaba Fitzl氏(@theevilbit)
対象OS:macOS Sequoia
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
CVE-2025-31258:匿名の研究者
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2025-31249:Ryan Dowd氏(@_rdowd)
対象OS:macOS Sequoia
影響:アプリが一部のプライバシーの環境設定を回避する可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2025-31224:KandjiのCsaba Fitzl氏(@theevilbit)
対象OS:macOS Sequoia
影響:リモートの攻撃者が、メモリを漏洩させる可能性がある。
説明:入力検証を強化することで、整数オーバーフローに対処しました。
CVE-2025-31221:Dave G.氏
対象OS:macOS Sequoia
影響:アプリがユーザのiCloudキーチェーンの関連ユーザ名とWebサイトにアクセスできる可能性がある。
説明:データの墨消しを改善することでログ入力の問題に対処しました。
CVE-2025-31213:Kirin氏(@Pwnrin)および7feilee氏
対象OS:macOS Sequoia
影響:攻撃者がファイルシステムの保護された部分へのアクセス権を取得できる可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2025-31247:匿名の研究者
対象OS:macOS Sequoia
影響:アプリに昇格した権限を取得される可能性がある。
説明:入力のサニタイズ処理を強化することで、この問題に対処しました。
CVE-2025-31259:匿名の研究者
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2025-31242:Twin Cities App Dev LLCのEric Dorphy氏
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:プライバシー管理を改善することで、情報漏洩の脆弱性に対処しました。
CVE-2025-31250:Noah Gregory氏(wts.dev)
対象OS:macOS Sequoia
影響:悪意のあるアプリが、重要な位置情報を読み取れる可能性がある。
説明:機微なデータを削除することで、プライバシーの問題に対処しました。
CVE-2025-31220:Adam M.氏
対象OS:macOS Sequoia
影響:型の取り違え(type confusion)の問題により、メモリが破損する可能性がある。
説明:浮動小数点の処理を改善することで、この問題に対処しました。
WebKit Bugzilla:286694
CVE-2025-24213:Google V8 Security Team
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:289387
CVE-2025-31223:Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏
WebKit Bugzilla:289653
CVE-2025-31238:Trend Micro Zero Day Initiativeに協力するwac氏
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:288814
CVE-2025-31215:Jiming Wang氏、Jikai Ren氏
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:291506
CVE-2025-31204:Nan Wang氏(@eternalsakura13)
WebKit Bugzilla:287577
CVE-2025-24223:rheza氏(@ginggilBesel)および匿名の研究者
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:ステート処理を強化し、型の取り違え(type confusion)の脆弱性に対処しました。
WebKit Bugzilla:290834
CVE-2025-31206:匿名の研究者
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:入力検証を強化することで、この問題に対処しました。
WebKit Bugzilla:289677
CVE-2025-31217:Ignacio Sanmillan氏(@ulexec)
対象OS:macOS Sequoia
影響:悪意のあるWebサイトに、データをクロスオリジンで取得される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:290992
CVE-2025-31205:Google Project ZeroのIvan Fratric氏
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:290985
CVE-2025-31257:Lynck GmbHのJuergen Schmied氏
Dalibor Milanovic氏のご協力に感謝いたします。
Cisco TalosのClaudio Bozzato氏およびFrancesco Benvenuto氏のご協力に感謝いたします。
匿名の研究者のご協力に感謝いたします。
ByteDanceのIES Red Teamのご協力に感謝いたします。
iisBuri氏のご協力に感謝いたします。
Andrei-Alexandru Bleorțu氏、Dmytro Merkulov氏のご協力に感謝いたします。
DBAppSecurity's WeBin labのYingQi Shi氏(@Mas0nShi)のご協力に感謝いたします。
@RenwaX23氏、Akash Labade氏、Suma Soft Pvt.Narendra Bhati氏のご協力に感謝いたします。
復旦大学のKirin氏(@Pwnrin)およびLFY氏(@secsys)、Tal Lossos氏、Zhongquan Li氏(@Guluisacat)のご協力に感謝いたします。
KandjiのCandace Jensen氏、ZUSO ARTおよびtaikosoupのChi Yuan Chang氏、Egor Filatov氏(Positive Technologies)、Tanto SecurityのMarcio Almeida氏、Monnier Pascaud氏、BREAKPOINT.SHのRon Masas氏のご協力に感謝いたします。
Google ChromeのMike Dougherty氏およびDaniel White氏、匿名の研究者のご協力に感謝いたします。
KandjiのCsaba Fitzl氏(@theevilbit)のご協力に感謝いたします。