Zawartość związana z zabezpieczeniami w systemie macOS Sequoia 15.4

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Sequoia 15.4.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Sequoia 15.4

Accessibility

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-24202: Zhongcheng Li z IES Red Team w ByteDance

AccountPolicy

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-24234: anonimowy badacz

AirDrop

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie odczytać dowolne metadane pliku.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24097: Ron Masas z BREAKPOINT.SH

AirPlay

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca w sieci lokalnej może spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.

CVE-2025-30445: Uri Katz (Oligo Security)

AirPlay

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie ujawnić poufne informacje użytkownika.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie obejść zasady uwierzytelniania.

Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować uszkodzenie pamięci procesowej.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

Dostępne dla: systemu macOS Sequoia

Zagrożenie: nieautoryzowany użytkownik będący w tej samej sieci co zalogowany Mac może wysyłać polecenia AirPlay bez połączenia w parę.

Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca w sieci lokalnej może spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

App Store

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-24276: anonimowy badacz

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24272: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd degradacji przez wprowadzenie dodatkowych ograniczeń dotyczących podpisywania kodu.

CVE-2025-24239: Wojciech Reguła z SecuRing (wojciechregula.blog)

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja może być w stanie uzyskać uprawnienia odczytu lub zapisu do chronionych plików.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24233: Claudio Bozzato i Francesco Benvenuto z Cisco Talos.

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-30443: Bohdan Stasiuk (@bohdan_stasiuk)

Audio

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie pominąć ASLR.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43205: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Audio

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24244: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Audio

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do wykonania dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24243: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Authentication Services

Dostępne dla: systemu macOS Sequoia

Zagrożenie: funkcja Wypełnianie haseł może wypełniać hasła po nieudanym uwierzytelnieniu.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-30430: Dominik Rath

Authentication Services

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa witryna internetowa może być w stanie uzyskać poświadczenia WebAuthn z innej witryny, która współdzieli zarejestrowaną końcówkę domeny.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24180: Martin Kreichgauer z Google Chrome

Authentication Services

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja może być w stanie uzyskać dostęp do zapisanych haseł użytkownika.

Opis: ten problem rozwiązano przez dodanie opóźnienia między kolejnymi próbami podania kodu weryfikacyjnego.

CVE-2025-24245: Ian Mckay (@iann0036)

Automator

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd uprawnień przez usunięcie kodu związanego z luką w zabezpieczeniach i wprowadzenie dodatkowych procedur sprawdzania.

CVE-2025-30460: anonimowy badacz

BiometricKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CloudKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24215: Kirin (@Pwnrin)

CoreAudio

Dostępne dla: systemu macOS Sequoia

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Dostępne dla: systemu macOS Sequoia

Zagrożenie: odtworzenie złośliwego pliku audio może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24230: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreGraphics

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-31196: wac pracujący w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: ten błąd naprawiono przez poprawienie procedury obsługi pamięci.

CVE-2025-24211: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2025-24236: Csaba Fitzl (@theevilbit) i Nolan Astrein z Kandji

CoreMedia

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24190: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia Playback

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) z Microsoft, anonimowy badacz

CoreText

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24182: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreUtils

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-31203: Uri Katz (Oligo Security)

Crash Reporter

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2025-24277: Csaba Fitzl (@theevilbit) z Kandji i Gergely Kalman (@gergely_kalman) i anonimowy badacz

curl

Dostępne dla: systemu macOS Sequoia

Zagrożenie: rozwiązano problem ze sprawdzaniem poprawności danych wejściowych.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2024-9681

Disk Images

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd dotyczący pomijania kwarantanny plików przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-31189: anonimowy badacz

Disk Images

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: usunięto błąd dostępu do pliku przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24255: anonimowy badacz

DiskArbitration

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania uprawnień.

CVE-2025-30453: Csaba Fitzl (@theevilbit) z Kandji i anonimowy badacz

DiskArbitration

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2025-30456: Gergely Kalman (@gergely_kalman)

DiskArbitration

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24267: anonimowy badacz

CVE-2025-24258: Csaba Fitzl (@theevilbit) z Kandji i anonimowy badacz

Dock

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-30455: Mickey Jin (@patch1t) i anonimowy badacz

Dock

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-31187: Rodolphe BRUNETTI (@eisw0lf) z Lupus Nova

dyld

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacje, które zdają się być używać piaskownicy App Sandbox, mogą być w stanie uruchomić się bez ograniczeń.

Opis: naprawiono błąd dotyczący wstawiania biblioteki przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-30462: Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi z Shielder (shielder.com)

FaceTime

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2025-30451: Kirin (@Pwnrin) i luckyu (@uuulucky)

FeedbackLogger

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie ochrony danych.

CVE-2025-24281: Rodolphe BRUNETTI (@eisw0lf)

Focus

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie wyświetlić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-30439: Andr.Ess

Focus

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy w schowkach systemowych.

CVE-2025-30461: anonimowy badacz

Foundation

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten problem został rozwiązany przez oczyszczenie logowania.

CVE-2025-30447: LFY@secsys z Fudan University

Foundation

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd dotyczący niekontrolowanych łańcuchów formatu przez poprawienie procedury walidacji danych wejściowych.

CVE-2025-24199: Manuel Fernandez (Stackhopper Security)

GPU Drivers

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-30464: ABC Research s.r.o.

CVE-2025-24273: Wang Yu z Cyberserval

GPU Drivers

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2025-24256: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro, Murray Mike

Handoff

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie ograniczenia dostępu do kontenera danych.

CVE-2025-30463: mzzzz__

iCloud Document Sharing

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca może włączyć udostępnianie folderu iCloud bez uwierzytelniania.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-30448: Dayton Pidhirney z Atredis Partners, Lyutoon i YenKoc

ImageIO

Dostępne dla: systemu macOS Sequoia

Zagrożenie: analiza składni obrazu może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: naprawiono błąd logiczny przez poprawienie obsługi błędów.

CVE-2025-24210: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

Installer

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie sprawdzić istnienie dowolnej ścieżki w systemie plików.

Opis: usunięto błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2025-24249: YingQi Shi(@Mas0nShi) z laboratorium WeBin firmy DBAppSecurity i Minghao Lin (@Y1nKoc)

Installer

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja w piaskownicy może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-24229: anonimowy badacz

IOGPUFamily

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24257: Wang Yu z Cyberserval

IOMobileFrameBuffer

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uszkodzić pamięć koprocesora.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-31263: Ye Zhang (@VAR10CK) z Baidu Security

IOMobileFrameBuffer

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uszkodzić pamięć koprocesora.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2025-30437: Ye Zhang (@VAR10CK) z Baidu Security

Kerberos Helper

Dostępne dla: systemu macOS Sequoia

Zagrożenie: zdalna osoba atakująca może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie sterty.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2025-24235: Dave G. z Supernetworks

Kernel

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24204: Koh M. Nakagawa (@tsunek0h) z FFRI Security, Inc.

Kernel

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24203: Ian Beer z Google Project Zero

Kernel

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca z uprawnieniami użytkownika może być w stanie odczytać pamięć jądra.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2025-24196: Joseph Ravichandran (@0xjprx) z MIT CSAIL

LaunchServices

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwy plik JAR może ominąć kontrole funkcji Gatekeeper.

Opis: ten błąd naprawiono przez poprawienie obsługi typów wykonywalnych.

CVE-2025-24148: Kenneth Chew

libarchive

Dostępne dla: systemu macOS Sequoia

Zagrożenie: rozwiązano problem ze sprawdzaniem poprawności danych wejściowych.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2024-48958

Libinfo

Dostępne dla: systemu macOS Sequoia

Zagrożenie: użytkownik może być w stanie podwyższyć poziom uprawnień.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24195: Paweł Płatek (Trail z Bits)

libnetcore

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-31231: Wojciech Regula z SecuRing (wojciechregula.blog)

libnetcore

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może doprowadzić do ujawnienia pamięci procesowej.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-24194: anonimowy badacz

libxml2

Dostępne dla: systemu macOS Sequoia

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-24178: anonimowy badacz

libxpc

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie usunąć pliki, do których nie ma uprawnień.

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2025-31182: Alex Radocea i Dave G. z Supernetworks, 风沐云烟(@binary_fmyy) i Minghao Lin(@Y1nKoc)

libxpc

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-24238: anonimowy badacz

Logging

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) z Microsoft, Alexia Wilson z Microsoft, Christine Fossaceca z Microsoft

macOS Recovery

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie wyświetlić poufne informacje użytkownika.

Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.

CVE-2025-31264: Diamant Osmani i Valdrin Haliti [Kosovë], dbpeppe, Solitechworld

Mail

Dostępne dla: systemu macOS Sequoia

Zagrożenie: opcja „Blokuj całą zawartość zdalną” może nie mieć zastosowania do wszystkich przypadków wyświetlania podglądu wiadomości e-mail.

Opis: usunięto błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2025-24172: anonimowy badacz

manpages

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2025-30450: Pwn2car

Maps

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: usunięto błąd w procedurze obsługi ścieżek przez poprawienie obsługi procesów logicznych.

CVE-2025-30470: LFY@secsys z Fudan University

NetworkExtension

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie odczytać listę aplikacji zainstalowanych przez użytkownika.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-30426: Jimmy

Notes

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja w środowisku piaskownicy może być w stanie uzyskać dostęp do poufnych danych użytkownika w dziennikach systemu.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2025-24262: LFY@secsys z Fudan University

NSDocument

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwie spreparowana aplikacja może uzyskać dostęp do dowolnych plików.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-24232: anonimowy badacz

OpenSSH

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący wstawiania danych przez poprawienie procedury sprawdzania poprawności.

CVE-2025-24246: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) z Kandji

PackageKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24261: Mickey Jin (@patch1t)

PackageKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-24164: Mickey Jin (@patch1t)

PackageKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja z uprawnieniami użytkownika root może być w stanie zmodyfikować zawartość plików systemowych

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-30446: Pedro Tôrres (@t0rr3sp3dr0)

Parental Controls

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie pobrać zakładki Safari bez sprawdzania uprawnień.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-24259: Noah Gregory (wts.dev)

Photos Storage

Dostępne dla: systemu macOS Sequoia

Zagrożenie: usunięcie rozmowy w Wiadomościach może spowodować ujawnienie informacji kontaktowych użytkownika w dzienniku systemowym

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-30424: anonimowy badacz

Power Services

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-24173: Mickey Jin (@patch1t)

Python

Dostępne dla: systemu macOS Sequoia

Zagrożenie: zdalna osoba atakująca może być w stanie ominąć sprawdzanie zasad nadawcy i dostarczyć złośliwą treść pocztą e-mail.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2023-27043

RPAC

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania poprawności zmiennych środowiskowych.

CVE-2025-24191: Claudio Bozzato i Francesco Benvenuto z Cisco Talos

Safari

Dostępne dla: systemu macOS Sequoia

Zagrożenie: witryna internetowa może być w stanie ominąć zasadę tego samego pochodzenia.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

Dostępne dla: systemu macOS Sequoia

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

Opis: ten błąd naprawiono przez ulepszenie interfejsu użytkownika.

CVE-2025-24113: @RenwaX23

Safari

Dostępne dla: systemu macOS Sequoia

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-30467: @RenwaX23

Safari

Dostępne dla: systemu macOS Sequoia

Zagrożenie: witryna internetowa mogła uzyskać dostęp do informacji z czujników bez zgody użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-31192: Jaydev Ahire

Safari

Dostępne dla: systemu macOS Sequoia

Zagrożenie: źródło pobierania może być niepoprawnie powiązane.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-24167: Syarif Muhammad Sajjad

Sandbox

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do wymiennych woluminów użytkownika bez uzyskiwania zgody użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Dostępne dla: systemu macOS Sequoia

Zagrożenie: rozwiązano problem ze sprawdzaniem poprawności danych wejściowych.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-30452: anonimowy badacz

Sandbox

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24181: Arsenii Kostromin (0x3c3e)

SceneKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może odczytywać pliki poza swoją piaskownicą

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-30458: Mickey Jin (@patch1t)

Security

Dostępne dla: systemu macOS Sequoia

Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai z Alibaba Group, Luyi Xing z Indiana University Bloomington

Security

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja działająca jako serwer proxy HTTPS może uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie ograniczeń dostępu.

CVE-2025-24250: Wojciech Regula z SecuRing (wojciechregula.blog)

Share Sheet

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja może być w stanie odrzucić powiadomienie systemowe na ekranie blokady informujące o rozpoczęciu nagrywania.

Opis: ten błąd naprawiono przez poprawienie ograniczeń dostępu.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Dostępne dla: systemu macOS Sequoia

Zagrożenie: skrót może być w stanie pominąć poufne ustawienia aplikacji Skróty.

Opis: ten błąd rozwiązano przez wprowadzenie dodatkowego monitu o zgodę użytkownika.

CVE-2025-43184: Csaba Fitzl (@theevilbit) z Kandji

Shortcuts

Dostępne dla: systemu macOS Sequoia

Zagrożenie: skrót może umożliwiać dostęp do plików, które normalnie są niedostępne dla aplikacji Skróty.

Opis: usunięto błąd uprawnień przez poprawienie procedury sprawdzania poprawności.

CVE-2025-30465: anonimowy badacz

Shortcuts

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2025-24280: Kirin (@Pwnrin)

Shortcuts

Dostępne dla: systemu macOS Sequoia

Zagrożenie: skrót może działać z uprawnieniami administratora bez właściwego uwierzytelnienia.

Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.

CVE-2025-31194: Dolf Hoegaerts, Michiel Devliegere

Shortcuts

Dostępne dla: systemu macOS Sequoia

Zagrożenie: skrót może umożliwiać dostęp do plików, które normalnie są niedostępne dla aplikacji Skróty.

Opis: ten błąd naprawiono przez poprawienie ograniczeń dostępu.

CVE-2025-30433: Andrew James Gonzalez

Siri

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie ograniczenia dostępu do kontenera danych.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja w środowisku piaskownicy może być w stanie uzyskać dostęp do poufnych danych użytkownika w dziennikach systemu.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2025-30435: K宝 (@Pwnrin) i luckyu (@uuulucky)

Siri

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem dotyczący prywatności przez nierejestrowanie zawartości pól tekstowych.

CVE-2025-24214: Kirin (@Pwnrin)

Siri

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wyliczyć urządzenia, które zalogowały się na konto Apple użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24248: Minghao Lin (@Y1nKoc) i Tong Liu@Lyutoon_ i 风(binary_fmyy) i F00L

Siri

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2025-24205: YingQi Shi(@Mas0nShi) z laboratorium WeBin firmy DBAppSecurity i Minghao Lin (@Y1nKoc)

Siri

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca z fizycznym dostępem może być w stanie użyć Siri w celu uzyskania dostępu do poufnych danych użytkownika.

Opis: ten problem rozwiązano przez ograniczenie opcji oferowanych na zablokowanym urządzeniu.

CVE-2025-24198: Richard Hyunho Im (@richeeta) z routezero.security

SMB

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24269: Alex Radocea z Supernetworks

SMB

Dostępne dla: systemu macOS Sequoia

Zagrożenie: zamontowanie złośliwie spreparowanego udziału sieciowego SMB może spowodować nieoczekiwane zamknięcie systemu.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2025-30444: Dave G. z Supernetworks

SMB

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2025-24228: Joseph Ravichandran (@0xjprx) z MIT CSAIL

smbx

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24260: zbleet z QI-ANXIN TianGong Team

Software Update

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2025-30442: anonimowy badacz

Software Update

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd dotyczący wstawiania biblioteki przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24282: Claudio Bozzato i Francesco Benvenuto z Cisco Talos

Software Update

Dostępne dla: systemu macOS Sequoia

Zagrożenie: użytkownik może być w stanie podwyższyć poziom uprawnień.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2025-24254: Arsenii Kostromin (0x3c3e)

Software Update

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24231: Claudio Bozzato i Francesco Benvenuto z Cisco Talos

StickerKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może obserwować niechronione dane użytkownika.

Opis: rozwiązano problem z prywatnością przez przeniesienie poufnych danych do zabezpieczonej lokalizacji.

CVE-2025-24263: Cristian Dinca z "Tudor Vianu" National High School z Computer Science, Romania

Storage Management

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do miejsca w usłudze iCloud bez zgody użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24207: YingQi Shi (@Mas0nShi) z DBAppSecurity's WeBin lab, 风沐云烟 (binary_fmyy) i Minghao Lin (@Y1nKoc)

StorageKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: usunięto błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2025-31261: Mickey Jin (@patch1t)

StorageKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-30449: Arsenii Kostromin (0x3c3e) i anonimowy badacz

StorageKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2025-24253: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) z Kandji

StorageKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2025-24240: Mickey Jin (@patch1t)

StorageKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2025-31188: Mickey Jin (@patch1t)

Summarization Services

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do informacji o kontaktach użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2025-24218: Kirin i FlowerCode, Bohdan Stasiuk (@bohdan_stasiuk)

System Settings

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2025-24278: Zhongquan Li (@Guluisacat)

System Settings

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja z uprawnieniami administratora może uzyskać dostęp do prywatnych informacji.

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2025-24242: Koh M. Nakagawa (@tsunek0h) z FFRI Security, Inc.

SystemMigration

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja może być w stanie tworzyć łącza symboliczne do chronionych obszarów dysku.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2025-30457: Mickey Jin (@patch1t)

TCC

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten problem rozwiązano przez dodanie dodatkowych procedur logicznych.

CVE-2025-31195: Pedro José Pereira Vieito (@pvieito / pvieito.com) i anonimowy badacz

Voice Control

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może mieć dostęp do kontaktów.

Opis: ten błąd naprawiono przez poprawienie procedury obsługi plików.

CVE-2025-24279: Mickey Jin (@patch1t)

Web Extensions

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może uzyskać nieautoryzowany dostęp do funkcji Lokalna sieć.

Opis: ten błąd naprawiono przez poprawienie sprawdzania uprawnień.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) i Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Dostępne dla: systemu macOS Sequoia

Zagrożenie: odwiedzenie witryny może spowodować ujawnienie poufnych danych.

Opis: naprawiono błąd importowania skryptu przez ulepszenie izolacji.

CVE-2025-24192: Vsevolod Kokorin (Slonser) z Solidlab

WebKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24264: Gary Kwong i anonimowy badacz

CVE-2025-24216: Paul Bakker z ParagonERP

WebKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2025-24209: Francisco Alonso (@revskills) i anonimowy badacz

WebKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwie spreparowana witryna może śledzić użytkowników, gdy w przeglądarce Safari jest włączony tryb przeglądania prywatnego.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-30425: anonimowy badacz

WindowServer

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.

CVE-2025-24247: PixiePoint Security

WindowServer

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie nakłonić użytkownika skopiowania poufnych danych do schowka.

Opis: naprawiono błąd konfiguracji przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24241: Andreas Hegenberg (folivora.AI GmbH)

Xsan

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-24266: anonimowy badacz

Xsan

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-24265: anonimowy badacz

Xsan

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2025-24157: anonimowy badacz

zip

Dostępne dla: systemu macOS Sequoia

Zagrożenie: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2025-31198: Jonathan Bar Or (@yo_yo_yo_jbo) z Microsoft

Dodatkowe podziękowania

Accounts

Dziękujemy za udzieloną pomoc: Bohdan Stasiuk (@bohdan_stasiuk).

AirPlay

Dziękujemy za udzieloną pomoc: Uri Katz (Oligo Security)

Analytics

Dziękujemy za udzieloną pomoc: YingQi Shi(@Mas0nShi) z DBAppSecurity's WeBin lab i Minghao Lin (@Y1nKoc).

AppKit

Dziękujemy za udzieloną pomoc: Taylor (Osintedx), Mcrich (Morris Richman).

Apple Account

Dziękujemy za udzieloną pomoc: Byron Fecho.

AppleMobileFileIntegrity

Dziękujemy za udzieloną pomoc: Jeffrey Hofmann.

FaceTime

Dziękujemy za udzieloną pomoc: anonimowy badacz, Dohyun Lee (@l33d0hyun) z USELab, Korea University i Youngho Choi z CEL, Korea University i Geumhwan Cho z USELab, Korea University.

Find My

Dziękujemy za udzieloną pomoc: 神罚(@Pwnrin).

Foundation

Dziękujemy Jannowi Hornowi z Project Zero za udzieloną pomoc.

Handoff

Dziękujemy za udzieloną pomoc: Kirin i FlowerCode.

HearingCore

Dziękujemy za udzieloną pomoc: Kirin@Pwnrin i LFY@secsys z Fudan University.

ImageIO

Dziękujemy za udzieloną pomoc: D4m0n.

Kext Management

Dziękujemy za udzieloną pomoc: Karol Mazurek (@karmaz) z AFINE.

libxpc

Dziękujemy anonimowemu badaczowi za pomoc.

Login Window

Dziękujemy za udzieloną pomoc: Charles Mangin.

Mail

Dziękujemy za udzieloną pomoc: Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau z The Chinese University of Hong Kong, K宝 oraz LFY@secsys z Fudan University.

Messages

Dziękujemy za udzieloną pomoc: parkminchan z Korea Univ.

MobileAccessoryUpdater

Dziękujemy za udzieloną pomoc: Claudio Bozzato i Francesco Benvenuto z Cisco Talos.

Notes

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal India.

Photos

Dziękujemy za udzieloną pomoc: Bistrit Dahal.

Quick Look

Dziękujemy za udzieloną pomoc: Wojciech Regula z SecuRing (wojciechregula.blog), pattern-f (@pattern_F_).

Safari

Dziękujemy za udzieloną pomoc: George Bafaloukas (george.bafaloukas@pingidentity.com) i Shri Hunashikatti (sshpro9@gmail.com).

Safari Downloads

Dziękujemy za udzieloną pomoc: Koh M. Nakagawa (@tsunek0h) z FFRI Security, Inc.

Safari Extensions

Dziękujemy za udzieloną pomoc: Alisha Ukani, Pete Snyder, Alex C. Snoeren.

Sandbox

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Kandji.

SceneKit

Dziękujemy za udzieloną pomoc: Marc Schoenefeld, Dr. rer. nat.

Security

Dziękujemy za udzieloną pomoc: Kevin Jones (GitHub).

Shortcuts

Dziękujemy za udzieloną pomoc: Chi Yuan Chang z ZUSO ART i taikosoup oraz anonimowy badacz.

Siri

Dziękujemy za udzieloną pomoc: Lyutoon.

SMB

Dziękujemy za udzieloną pomoc: Dave G. z Supernetworks.

srd_tools

Dziękujemy za udzieloną pomoc: Joshua van Rijswijk, Micheal ogaga, hitarth shah.

System Settings

Dziękujemy za udzieloną pomoc: Joshua Jewett (@JoshJewett33).

Talagent

Dziękujemy za udzieloną pomoc: Morris Richman i anonimowy badacz.

Terminal

Dziękujemy za udzieloną pomoc: Paweł Płatek (Trail of Bits).

Translations

Dziękujemy za udzieloną pomoc: K宝(@Pwnrin).

Weather

Dziękujemy za udzieloną pomoc: Lyutoon.

WebKit

Dziękujemy za udzieloną pomoc: Gary Kwong, Junsung Lee, P1umer (@p1umer) i Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang i Daoyuan Wu z HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) z VXRL, Wong Wai Kin, Dongwei Xiao i Shuai Wang z HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) z VXRL., Xiangwei Zhang z Tencent Security YUNDING LAB, 냥냥 i anonimowy badacz.