macOS Sonoma 14.7.6のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2025年5月12日リリース
対象OS:macOS Sonoma
影響:悪意のあるAFPサーバに接続すると、カーネルメモリが破損する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-31246:MIT CSAILのJoseph Ravichandran氏(@0xjprx)
対象OS:macOS Sonoma
影響:悪意を持って作成されたAFPネットワーク共有をマウントすると、システムが終了する可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2025-31240:Dave G.氏
CVE-2025-31237:Dave G.氏
対象OS:macOS Sonoma
影響:悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:入力のサニタイズ処理を強化することで、この問題に対処しました。
CVE-2025-31251:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象OS:macOS Sonoma
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:メモリ管理を強化し、ダブルフリー(二重解放)の脆弱性に対処しました。
CVE-2025-31235:Google Project Zeroに協力するDillon Franke氏
対象OS:macOS Sonoma
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-31208:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象OS:macOS Sonoma
影響:悪意を持って作成されたファイルを処理すると、サービス運用妨害を受ける可能性や、メモリのコンテンツが漏洩する可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2025-31196:Trend Micro Zero Day Initiativeに協力するwac氏
対象OS:macOS Sonoma
影響:ファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2025-31209:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象OS:macOS Sonoma
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2025-31239:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象OS:macOS Sonoma
影響:悪意を持って作成されたビデオファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:入力のサニタイズ処理を強化することで、この問題に対処しました。
CVE-2025-31233:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象OS:macOS Sonoma
影響:悪意のあるアプリがルート権限を取得できる可能性がある。
説明:アクセス権のチェックを追加で設けることで、この問題に対処しました。
CVE-2025-30453:KandjiのCsaba Fitzl氏(@theevilbit)、匿名の研究者
対象OS:macOS Sonoma
影響:アプリがルート権限を取得できる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-24258:KandjiのCsaba Fitzl氏(@theevilbit)、匿名の研究者
対象OS:macOS Sonoma
影響:攻撃者が認証なしでiCloudフォルダの共有を有効にできる可能性がある。
説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。
CVE-2025-30448:Lyutoon氏、YenKoc氏、Atredis PartnersのDayton Pidhirney氏
対象OS:macOS Sonoma
影響:サンドボックス化されたアプリが機微なユーザデータにアクセスできる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2025-31232:匿名の研究者
対象OS:macOS Sonoma
影響:アプリが重要なカーネル状態を漏洩させる可能性がある。
説明:脆弱なコードを削除することで、情報漏洩の脆弱性に対処しました。
CVE-2025-24144:Mateusz Krzywicki氏(@krzywix)
対象OS:macOS Sonoma
影響:攻撃者によってシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-31219:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)およびLucas Leong氏(@_wmliang_)
対象OS:macOS Sonoma
影響:リモート攻撃者によってアプリが突然終了される可能性がある。
説明:メモリ管理を強化し、ダブルフリー(二重解放)の脆弱性に対処しました。
CVE-2025-31241:Christian Kohlschütter氏
対象OS:macOS Sonoma
影響:libexpatの複数の脆弱性が原因で、アプリを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2024-8176
対象OS:macOS Sonoma
影響:アプリがASLRを回避する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-30440:Paweł Płatek氏(Trail of Bits)
対象OS:macOS Sonoma
影響:ユーザが権限を昇格できる場合がある。
説明:チェックを改善して、精度の問題に対処しました。
CVE-2025-31222:Paweł Płatek氏(Trail of Bits)
対象OS:macOS Sonoma
影響:悪意のあるアプリがルート権限を取得できる可能性がある。
説明:脆弱なコードを削除することで、入力検証の脆弱性に対処しました。
CVE-2025-24274:匿名の研究者
対象OS:macOS Sonoma
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2025-24142:復旦大学のLFY@secsys氏
対象OS:macOS Sonoma
影響:OpenSSHに複数の脆弱性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2025-26465
CVE-2025-26466
対象OS:macOS Sonoma
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-31245:wac氏
対象OS:macOS Sonoma
影響:アプリが一部のプライバシーの環境設定を回避する可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2025-31224:KandjiのCsaba Fitzl氏(@theevilbit)
対象OS:macOS Sonoma
影響:リモートの攻撃者が、メモリを漏洩させる可能性がある。
説明:入力検証を強化することで、整数オーバーフローに対処しました。
CVE-2025-31221:Dave G.氏
対象OS:macOS Sonoma
影響:アプリがユーザのiCloudキーチェーンの関連ユーザ名とWebサイトにアクセスできる可能性がある。
説明:データの墨消しを改善することでログ入力の問題に対処しました。
CVE-2025-31213:Kirin氏(@Pwnrin)および7feilee氏
対象OS:macOS Sonoma
影響:攻撃者がファイルシステムの保護された部分へのアクセス権を取得できる可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2025-31247:匿名の研究者
対象OS:macOS Sonoma
影響:アプリに昇格した権限を取得される可能性がある。
説明:入力のサニタイズ処理を強化することで、この問題に対処しました。
CVE-2025-30442:匿名の研究者
対象OS:macOS Sonoma
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2025-31242:Twin Cities App Dev LLCのEric Dorphy氏
対象OS:macOS Sonoma
影響:悪意のあるアプリが、機微な位置情報を読み取れる可能性がある。
説明:機微なデータを削除することで、プライバシーの問題に対処しました。
CVE-2025-31220:Adam M.氏
対象OS:macOS Sonoma
影響:アプリがカーネルメモリを漏洩させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24155:匿名の研究者
匿名の研究者のご協力に感謝いたします。
KandjiのCandace Jensen氏、ZUSO ARTおよびtaikosoupのChi Yuan Chang氏のご協力に感謝いたします。