Zawartość związana z zabezpieczeniami w systemie macOS Sequoia 15.6

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Sequoia 15.6.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Sequoia 15.6

Admin Framework

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2025-43191: Ryan Dowd (@_rdowd)

afclip

Dostępne dla: systemu macOS Sequoia

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43186: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

AMD

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.

CVE-2025-43244: ABC Research s.r.o.

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-31243: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja może być w stanie uruchamiać dowolne pliki binarne na zaufanym urządzeniu.

Opis: ten błąd usunięto przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43253: Noah Gregory (wts.dev)

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-43249: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2025-43248: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd degradacji przez wprowadzenie dodatkowych ograniczeń dotyczących podpisywania kodu.

CVE-2025-43245: Mickey Jin (@patch1t)

Archive Utility

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2025-43257: Mickey Jin (@patch1t)

CFNetwork

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: rozwiązano problem użycia wskaźnika po zwolnieniu pamięci (use-after-free) przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43222: Andreas Jaegersberger i Ro Achterberg z Nosebeard Labs

CFNetwork

Dostępne dla: systemu macOS Sequoia

Zagrożenie: użytkownik bez uprawnień może być w stanie zmodyfikować ustawienia sieci z ograniczeniami

Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43223: Andreas Jaegersberger i Ro Achterberg z Nosebeard Labs

copyfile

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2025-43220: Mickey Jin (@patch1t)

Core Services

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: rozwiązano problem z uprawnieniami przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43199: Gergely Kalman (@gergely_kalman), anonimowy badacz

CoreAudio

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio mogło doprowadzić do uszkodzenia pamięci.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43277: Threat Analysis Group firmy Google

CoreMedia

Dostępne dla: systemu macOS Sequoia

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: usunięto błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2025-43273: Seo Hyun-gyu (@wh1te4ever), Dora Orak, Minghao Lin (@Y1nKoc) i XiLong Zhang (@Resery4) z Xiaomi oraz noir (@ROIS) i fmyy (@风沐云烟)

CoreMedia

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43210: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia Playback

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania uprawnień.

CVE-2025-43230: Chi Yuan Chang z ZUSO ART i taikosoup

CoreServices

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: w procedurze obsługi zmiennych środowiskowych występował błąd. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2025-43195: 风沐云烟 (@binary_fmyy) i Minghao Lin (@Y1nKoc)

Directory Utility

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący wstawiania danych przez poprawienie procedury sprawdzania poprawności.

CVE-2025-43267: Mickey Jin (@patch1t)

Disk Images

Dostępne dla: systemu macOS Sequoia

Zagrożenie: uruchomienie polecenia hdiutil może nieoczekiwanie wykonać dowolny kod.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43187: 风沐云烟 (@binary_fmyy) i Minghao Lin (@Y1nKoc)

DiskArbitration

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43188: anonimowy badacz

Dock

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43198: Mickey Jin (@patch1t)

file

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43254: 2ourc3 | Salim Largo

File Bookmark

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-43261: anonimowy badacz

Find My

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-31279: Dawuge z Shuffle Team

GPU Drivers

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43255: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2025-43284: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

ICU

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43209: Gary Kwong w ramach programu Zero Day Initiative firmy Trend Micro

ImageIO

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43226

Kernel

Dostępne dla: systemu macOS Sequoia

Zagrożenie: usługa iCloud Private Relay może nie zostać aktywowana, gdy jednocześnie zalogowany jest więcej niż jeden użytkownik.

Opis: naprawiono błąd logiczny przez poprawienie obsługi błędów.

CVE-2025-43276: Willey Lin

Kernel

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43268: Gergely Kalman (@gergely_kalman), Arsenii Kostromin (0x3c3e)

libnetcore

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie pliku może doprowadzić do uszkodzenia pamięci.

Opis: ten błąd naprawiono przez poprawienie procedury obsługi pamięci.

CVE-2025-43202: Brian Carpenter

libxml2

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie pliku może doprowadzić do uszkodzenia pamięci.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE na stronie cve.org.

CVE-2025-7425: Sergei Glazunov z Google Project Zero

libxpc

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2025-43196: anonimowy badacz

libxslt

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-7424: Ivan Fratric z Google Project Zero

Managed Configuration

Dostępne dla: systemu macOS Sequoia

Zagrożenie: rejestracja użytkownika na podstawie konta może być nadal możliwa, nawet gdy jest włączony tryb blokady.

Opis: naprawiono błąd konfiguracji przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43192: Pyrophoria

MediaRemote

Dostępne dla: systemu macOS Sequoia

Zagrożenie: proces uruchomiony w piaskownicy może być w stanie uruchomić dowolną zainstalowaną aplikację.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-31275: Dora Orak

Metal

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanej tekstury może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43234: Vlad Stolyarov z Threat Analysis Group firmy Google

Model I/O

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do uszkodzenia pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43264: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2025-43219: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

Model I/O

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.

CVE-2025-31281: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

Model I/O

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43224: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2025-43221: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

Model I/O

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do uszkodzenia sterty.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2025-31280: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

Model I/O

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetwarzanie złośliwie spreparowanego pliku USD może spowodować ujawnienie zawartości pamięci.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43218: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

Model I/O

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-43215: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

NetAuth

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2025-43275: Csaba Fitzl (@theevilbit) z Kandji

Notes

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może uzyskać nieautoryzowany dostęp do funkcji Lokalna sieć.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2025-43270: Minqiang Gui

Notes

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-43225: Kirin (@Pwnrin)

NSSpellChecker

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43266: Noah Gregory (wts.dev)

PackageKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie przejąć uprawnienia przyznane innym uprzywilejowanym aplikacjom.

Opis: ten błąd naprawiono przez ulepszenie ochrony danych.

CVE-2025-43260: Zhongquan Li (@Guluisacat)

PackageKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja z uprawnieniami użytkownika root może być w stanie zmodyfikować zawartość plików systemowych

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43247: Mickey Jin (@patch1t)

PackageKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-43194: Mickey Jin (@patch1t)

PackageKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie ominąć niektóre preferencje dotyczące prywatności.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43232: Koh M. Nakagawa (@tsunek0h), Csaba Fitzl (@theevilbit) z Kandji i Gergely Kalman (@gergely_kalman)

Power Management

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2025-43236: Dawuge z Shuffle Team

Power Management

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43235: Dawuge z zespołu Shuffle

RemoteViewServices

Dostępne dla: systemu macOS Sequoia

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: rozwiązano problem z prywatnością przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43274: anonimowy badacz, Hikerell z Loadshine Lab, @zlluny

Safari

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-24188: Andreas Jaegersberger i Ro Achterberg z Nosebeard Labs

SceneKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może odczytywać pliki poza swoją piaskownicą

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43241: Mickey Jin (@patch1t)

Security

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja działająca jako serwer proxy HTTPS może uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie ograniczeń dostępu.

CVE-2025-43233: Wojciech Regula z SecuRing (wojciechregula.blog)

SecurityAgent

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43193: Dawuge z Shuffle Team

SharedFileList

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2025-43250: Mickey Jin (@patch1t), Yuebin Sun (@yuebinsun2020)

Single Sign-On

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-43197: Shang-De Jiang i Kazma Ye z CyCraft Technology

sips

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43239: Nikolai Skliarenko z programu Zero Day Initiative firmy Trend Micro

Software Update

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43243: Keith Yeo (@kyeojy) z zespołu Orca of Sea Security, Mickey Jin (@patch1t)

Spotlight

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2025-43246: Mickey Jin (@patch1t)

StorageKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-43256: anonimowy badacz

System Settings

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2025-43206: Zhongquan Li (@Guluisacat)

User Management

Dostępne dla: systemu macOS Sequoia

Zagrożenie: lokalna osoba atakująca może uzyskać dostęp do elementów pęku kluczy użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2025-43251: Mickey Jin (@patch1t)

Voice Control

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd degradacji przez wprowadzenie dodatkowych ograniczeń dotyczących podpisywania kodu.

CVE-2025-43185: Mickey Jin (@patch1t)

WebContentFilter

Dostępne dla: systemu macOS Sequoia

Zagrożenie: złośliwa aplikacja może być w stanie odczytać dane z pamięci jądra.

Opis: ten błąd naprawiono przez poprawienie procedury obsługi pamięci.

CVE-2025-43189: anonimowy badacz

WebContentFilter

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43237: anonimowy badacz

WebKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może spowodować atak UXSS (universal cross site scripting).

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-43229: Martin Bajanik z Fingerprint, Ammar Askar

WebKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ujawnić poufne informacje użytkownika.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-43227: Gilad Moav

WebKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

WebKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: źródło pobierania może być niepoprawnie powiązane.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-43240: Syarif Muhammad Sajjad

WebKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43214: shandikri w ramach programu Zero Day Initiative firmy Trend Micro, Google V8 Security Team

CVE-2025-43213: Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) i Ziling Chen

WebKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

WebKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ujawnić wewnętrzne stany aplikacji.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43265: HexRabbit (@h3xr4bb1t) z DEVCORE Research Team

WebKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Dostępne dla: systemu macOS Sequoia

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE na stronie cve.org.

CVE-2025-6558: Clément Lecigne i Vlad Stolyarov z Threat Analysis Group firmy Google

WindowServer

Dostępne dla: systemu macOS Sequoia

Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie wyświetlić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2025-43259: Martti Hütt

Xsan

Dostępne dla: systemu macOS Sequoia

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43238: anonimowy badacz

zip

Dostępne dla: systemu macOS Sequoia

Zagrożenie: witryna może być w stanie uzyskać dostęp do poufnych danych użytkownika podczas rozwiązywania łączy symbolicznych.

Opis: ten błąd rozwiązano przez wprowadzenie dodatkowego monitu o zgodę użytkownika.

CVE-2025-43252: Jonathan Bar Or (@yo_yo_yo_jbo) z Microsoft

Dodatkowe podziękowania

AppleMobileFileIntegrity

Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).

Bluetooth

Dziękujemy za udzieloną pomoc: LIdong LI, Xiao Wang, Shao Dong Chen i Chao Tan z Source Guard

Control Center

Dziękujemy anonimowemu badaczowi za pomoc.

CoreAudio

Dziękujemy za udzieloną pomoc: @zlluny, Noah Weinberg.

CoreUtils

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Kandji.

Device Management

Dziękujemy za udzieloną pomoc: Al Karak.

Find My

Dziękujemy za udzieloną pomoc: Christian Kohlschütter.

Game Center

Dziękujemy za udzieloną pomoc: YingQi Shi (@Mas0nShi) z laboratorium WeBin firmy DBAppSecurity.

IOMobileFrameBuffer

Dziękujemy za udzieloną pomoc: Karol Mazurek (@Karmaz95) z AFINE.

Kernel

Dziękujemy za udzieloną pomoc: Karol Mazurek (@Karmaz95) z AFINE.

libxml2

Dziękujemy za udzieloną pomoc: Sergei Glazunov z Google Project Zero.

libxslt

Dziękujemy za udzieloną pomoc: Ivan Fratric z Google Project Zero.

Safari 

Dziękujemy za udzieloną pomoc: Ameen Basha M K.

Shortcuts

Dziękujemy za udzieloną pomoc: Dennis Kniep.

WebDAV

Dziękujemy za udzieloną pomoc: Christian Kohlschütter.

WebKit

Dziękujemy za udzieloną pomoc: Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei, rheza (@ginggilBesel).