macOS Ventura 13.7.7のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2025年7月29日リリース
対象OS:macOS Ventura
影響:アプリからサービス運用妨害を受ける可能性がある。
説明:検証を強化して、パスの処理における脆弱性に対処しました。
CVE-2025-43191:Ryan Dowd氏(@_rdowd)
対象OS:macOS Ventura
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-43186:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象OS:macOS Ventura
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:ステート処理を強化することで、競合状態の脆弱性に対処しました。
CVE-2025-43244:ABC Research s.r.o.
対象OS:macOS Ventura
影響:アプリがルート権限を取得できる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-31243:Mickey Jin氏(@patch1t)
対象OS:macOS Ventura
影響:アプリがルート権限を取得できる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2025-43249:Mickey Jin氏(@patch1t)
対象OS:macOS Ventura
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。
CVE-2025-43245:Mickey Jin氏(@patch1t)
対象OS:macOS Ventura
影響:攻撃者にアプリを突然終了される可能性がある。
説明:脆弱なコードを削除することで、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2025-43222:Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏
対象OS:macOS Ventura
影響:特権を持たないユーザが、制限されたネットワーク設定を変更できる可能性がある。
説明:入力検証を強化し、サービス運用妨害の脆弱性に対処しました。
CVE-2025-43223:Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏
対象OS:macOS Ventura
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:シンボリックリンクの検証を改善することで、この問題に対処しました。
CVE-2025-43220:Mickey Jin氏(@patch1t)
対象OS:macOS Ventura
影響:悪意のあるアプリがルート権限を取得できる可能性がある。
説明:脆弱なコードを削除することで、アクセス権の問題に対処しました。
CVE-2025-43199:Gergely Kalman氏(@gergely_kalman)、匿名の研究者
対象OS:macOS Ventura
影響:悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2025-43210:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象OS:macOS Ventura
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:環境変数の処理に脆弱性がありました。検証を強化し、この脆弱性に対処しました。
CVE-2025-43195:风沐云烟氏(@binary_fmyy)およびMinghao Lin氏(@Y1nKoc)
対象OS:macOS Ventura
影響:hdiutilコマンドを実行すると、任意のコードが予期せず実行される可能性がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
CVE-2025-43187:风沐云烟氏(@binary_fmyy)およびMinghao Lin氏(@Y1nKoc)
対象OS:macOS Ventura
影響:悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2025-43254:2ourc3 | Salim Largo氏
対象OS:macOS Ventura
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2025-43261:匿名の研究者
対象OS:macOS Ventura
影響:アプリがユーザの指紋を採ることができる場合がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-31279:Shuffle TeamのDawuge氏
対象OS:macOS Ventura
影響:アプリがサンドボックスの外部で、または昇格した特定の権限で任意のコードを実行できる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2025-24119:匿名の研究者
対象OS:macOS Ventura
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2025-43255:Trend Micro Zero Day Initiativeに協力する匿名の研究者
CVE-2025-43284:Trend Micro Zero Day Initiativeに協力する匿名の研究者
2025年8月28日に更新
対象OS:macOS Ventura
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2025-43209:Trend Micro Zero Day Initiativeに協力するGary Kwong氏
対象OS:macOS Ventura
影響:リモートの攻撃者にシステムを突然終了される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24224:Tony Iskow氏(@Tybbow)
対象OS:macOS Ventura
影響:アプリがサンドボックスの外部で、または昇格した特定の権限で任意のコードを実行できる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2025-24119:匿名の研究者
対象OS:macOS Ventura
影響:アプリがルート権限を取得できる可能性がある。
説明:検証を強化して、パスの処理における脆弱性に対処しました。
CVE-2025-43196:匿名の研究者
対象OS:macOS Ventura
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:検証を追加することで、競合状態に対処しました。
CVE-2025-43275:KandjiのCsaba Fitzl氏(@theevilbit)
対象OS:macOS Ventura
影響:アプリがローカルネットワークに不正アクセスできる可能性がある。
説明:サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。
CVE-2025-43270:Minqiang Gui氏
対象OS:macOS Ventura
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:データの墨消しを改善することでログ入力の問題に対処しました。
CVE-2025-43225:Kirin氏(@Pwnrin)
対象OS:macOS Ventura
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-43266:Noah Gregory氏(wts.dev)
対象OS:macOS Ventura
影響:ルート権限を持つ悪意のあるアプリが、システムファイルの内容を変更できる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-43247:Mickey Jin氏(@patch1t)
対象OS:macOS Ventura
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-43194:Mickey Jin氏(@patch1t)
対象OS:macOS Ventura
影響:アプリが一部のプライバシーの環境設定を回避する可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-43232:Koh M. Nakagawa氏(@tsunek0h)、KandjiのCsaba Fitzl氏(@theevilbit)、Gergely Kalman氏(@gergely_kalman)
対象OS:macOS Ventura
影響:攻撃者にアプリを突然終了される可能性がある。
説明:メモリ処理を強化し、型の取り違え(type confusion)の脆弱性に対処しました。
CVE-2025-43236:Shuffle TeamのDawuge氏
対象OS:macOS Ventura
影響:アプリがそのサンドボックスの外側にあるファイルを読み取れる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-43241:Mickey Jin氏(@patch1t)
対象OS:macOS Ventura
影響:HTTPSプロキシとして機能する、悪意を持って作成されたアプリが、機微なユーザデータにアクセスできる可能性がある。
説明:アクセス制限を改善することで、この問題に対処しました。
CVE-2025-43233:SecuRingのWojciech Regula氏(wojciechregula.blog)
対象OS:macOS Ventura
影響:アプリからサービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-43193:Shuffle TeamのDawuge氏
対象OS:macOS Ventura
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:検証を強化して、パスの処理における脆弱性に対処しました。
CVE-2025-43250:Yuebin Sun氏(@yuebinsun2020)、Mickey Jin氏(@patch1t)
対象OS:macOS Ventura
影響:ショートカットがショートカットアプリの機微な設定情報を回避する可能性がある。
説明:ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。
CVE-2025-43184:KandjiのCsaba Fitzl氏(@theevilbit)
対象OS:macOS Ventura
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。
CVE-2025-43197:CyCraft TechnologyのShang-De Jiang氏およびKazma Ye氏
対象OS:macOS Ventura
影響:悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2025-43239:Trend Micro Zero Day InitiativeのNikolai Skliarenko氏
対象OS:macOS Ventura
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-43243:Mickey Jin氏(@patch1t)、Sea SecurityのTeam OrcaのKeith Yeo氏(@kyeojy)
対象OS:macOS Ventura
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:ディレクトリパスの処理における解析不備の脆弱性に、パス検証を強化することで対処しました。
CVE-2025-43206:Zhongquan Li氏(@Guluisacat)
対象OS:macOS Ventura
影響:ロックされているデバイスに物理的にアクセスできる攻撃者がユーザの機微情報を見ることができる。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2025-43259:Martti Hütt氏
対象OS:macOS Ventura
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:入力検証を強化することで、整数オーバーフローに対処しました。
CVE-2025-43238:匿名の研究者
Al Karak氏のご協力に感謝いたします。
DBAppSecurity's WeBin labのYingQi Shi氏(@Mas0nShi)のご協力に感謝いたします。
Dennis Kniep氏のご協力に感謝いたします。
Christian Kohlschütter氏のご協力に感謝いたします。