Zawartość związana z zabezpieczeniami w systemie macOS Tahoe 26

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Tahoe 26.

About Apple security updates

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Tahoe 26

Wydano poniedziałek, 15 września 2025 r.

Airport

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2020 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2020 r. i nowszy), MacBook Air z układem scalonym Apple (2020 r. i nowszy), MacBook Pro (16 cali, 2019 r.), MacBook Pro (13 cali, 2020 r., cztery porty Thunderbolt 3) i MacBook Pro z układem scalonym Apple (2020 r. i nowszy)

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43208: Csaba Fitzl (@theevilbit) z Kandji, Kirin (@Pwnrin)

AMD

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43312: ABC Research s.r.o.

AppKit

Dostępne dla: Mac Pro (2019 r.), iMac (27 cali, 2020 r.), MacBook Pro (16 cali, 2019 r.) i MacBook Pro (13 cali, 2020 r., cztery porty Thunderbolt 3)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: problem rozwiązano poprzez zablokowanie uruchamiania niepodpisanych usług na komputerach Mac z procesorami Intel.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Neural Engine

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2021 r. i nowszy), Mac mini (2020 r. i nowszy), MacBook Air z układem scalonym Apple (2020 r. i nowszy), MacBook Pro z układem scalonym Apple (2020 r. i nowszy), Mac Pro (2023 r.)

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43344: anonimowy badacz

Apple Online Store Kit

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-31268: Csaba Fitzl (@theevilbit) i Nolan Astrein z Kandji

AppleMobileFileIntegrity

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd degradacji przez wprowadzenie dodatkowych ograniczeń dotyczących podpisywania kodu.

CVE-2025-43331: Mickey Jin (@patch1t), Kirin (@Pwnrin), Claudio Bozzato i Francesco Benvenuto z Cisco Talos

AppleMobileFileIntegrity

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43317: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43340: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2025-43337: Csaba Fitzl (@theevilbit) i Nolan Astrein z Kandji

AppSandbox

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

ATS

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43330: Bilal Siddiqui

Audio

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43346: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Bluetooth

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie sprawdzania w celu uniemożliwienia wykonywania nieautoryzowanych czynności.

CVE-2025-43307: Dawuge z Shuffle Team

Bluetooth

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-43354: Csaba Fitzl (@theevilbit) z Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) z Kandji

Call History

Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2025-43357: Rosyna Keller z Totally Not Malicious Software, Guilherme Rambo z Best Buddy Apps (rambo.codes)

CoreAudio

Zagrożenie: przetworzenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43349: @zlluny pracujący w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.

CVE-2025-43292: Csaba Fitzl (@theevilbit) i Nolan Astrein z Kandji

CoreMedia

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43372: 이동하 (Lee Dong Ha) z SSA Lab

CoreServices

Zagrożenie: aplikacja może być w stanie zastąpić ustawienia wymuszone przez MDM z profili.

Opis: ten problem rozwiązano przez dodanie dodatkowych procedur logicznych.

CVE-2025-24088: Csaba Fitzl (@theevilbit) z Kandji

CoreServices

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-43305: anonimowy badacz, Mickey Jin (@patch1t)

DiskArbitration

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43316: Csaba Fitzl (@theevilbit) z Kandji, anonimowy badacz

FaceTime

Zagrożenie: przychodzące połączenia FaceTime mogą być wyświetlane lub odbierane na zablokowanym urządzeniu z macOS, nawet jeśli powiadomienia na ekranie blokady są wyłączone.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-31271: Shantanu Thakur

Foundation

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-31270: anonimowy badacz

GPU Drivers

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43326: Wang Yu z Cyberserval

GPU Drivers

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43283: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

Icons

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2025-43325: anonimowy badacz

ImageIO

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do uszkodzenia pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43287: 이동하 (Lee Dong Ha) z SSA Lab

IOHIDFamily

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43302: Keisuke Hosoda

IOKit

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2025-31255: Csaba Fitzl (@theevilbit) z Kandji

IOMobileFrameBuffer

Zagrożenie: aplikacja może być w stanie ujawnić pamięć koprocesora.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43366: Ye Zhang (@VAR10CK) z Baidu Security

Kernel

Zagrożenie: gniazdo serwera UDP powiązane z interfejsem lokalnym może stać się powiązane ze wszystkimi interfejsami.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2025-43359: Viktor Oreshkin

libc

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

Zagrożenie: przetworzenie złośliwie spreparowanego ciągu znaków mogło doprowadzić do uszkodzenia sterty.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MallocStackLogging

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: w procedurze obsługi zmiennych środowiskowych występował błąd. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

MediaLibrary

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43319: Hikerell (Loadshine Lab)

MigrationKit

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) z Lupus Nova

MobileStorageMounter

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2025-43355: Dawuge z Shuffle Team

Music

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.

CVE-2025-43207: Rodolphe Brunetti (@eisw0lf) z Lupus Nova, anonimowy badacz

Notification Center

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2025-43279: Kirin (@Pwnrin)

Notification Center

Zagrożenie: aplikacja może mieć dostęp do danych kontaktowych powiązanych z powiadomieniami w Centrum powiadomień.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2025-43301: LFY@secsys z Fudan University

PackageKit

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2025-43298: anonimowy badacz

Perl

Zagrożenie: liczne błędy w oprogramowaniu Perl.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-40909

Power Management

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2025-43297: Dawuge z Shuffle Team

Printing

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-31269: Zhongcheng Li z IES Red Team w ByteDance

RemoteViewServices

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43204: @zlluny, Mickey Jin (@patch1t)

Ruby

Zagrożenie: przetworzenie pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

CVE-2024-27280

Safari

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: ten problem rozwiązano przez dodanie dodatkowych procedur logicznych.

CVE-2025-43327: @RenwaX23

Sandbox

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43329: anonimowy badacz

Sandbox

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43328: Csaba Fitzl (@theevilbit) z Kandji

Sandbox

Zagrożenie: aplikacja z uprawnieniami administratora może uzyskać dostęp do prywatnych informacji.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-43318: Yiğit Can YILMAZ (@yilmazcanyigit)

Screenshots

Zagrożenie: aplikacja może być w stanie zrobić zrzut ekranu z aplikacji wchodzącej w tryb pełnoekranowy lub wychodzącej z niego.

Opis: naprawiono błąd dotyczący prywatności przez poprawienie procedur sprawdzania.

CVE-2025-31259: anonimowy badacz

Security Initialization

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd dotyczący pomijania kwarantanny plików przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43332: anonimowy badacz

SharedFileList

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43293: anonimowy badacz

SharedFileList

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: rozwiązano problem z uprawnieniami przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43291: Ye Zhang z Baidu Security

SharedFileList

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43286: pattern-f (@pattern_F_), @zlluny

SharedFileList

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2025-43369: anonimowy badacz

Shortcuts

Zagrożenie: skrót może pozwolić na ominięcie ograniczeń piaskownicy.

Opis: usunięto błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2025-43358: 정답이 아닌 해답

Siri

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez przeniesienie poufnych danych.

CVE-2025-43367: Kirin (@Pwnrin), Cristian Dinca z „Tudor Vianu” National High School of Computer Science, Rumunia

Spell Check

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43333: Gergely Kalman (@gergely_kalman)

Spotlight

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) z Lupus Nova

SQLite

Zagrożenie: przetworzenie pliku może doprowadzić do uszkodzenia pamięci.

CVE-2025-6965

Storage

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43341: anonimowy badacz

StorageKit

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.

CVE-2025-43304: Mickey Jin (@patch1t)

System

Zagrożenie: rozwiązano problem ze sprawdzaniem poprawności danych wejściowych.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

Touch Bar

Dostępne dla: MacBook Pro (16-calowy, 2019 r.), MacBook Pro (13-calowy, 2020 r., cztery porty Thunderbolt 3) i MacBook Pro (13-calowy, M1, 2020 r. i M2, 2022 r.)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-43311: Justin Elliot Fu, anonimowy badacz

Touch Bar Controls

Dostępne dla: MacBook Pro (16-calowy, 2019 r.), MacBook Pro (13-calowy, 2020 r., cztery porty Thunderbolt 3) i MacBook Pro (13-calowy, M1, 2020 r. i M2, 2022 r.)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-43308: anonimowy badacz

Trusted Device

Zagrożenie: tryb ograniczonego USB może być nieaktywny w przypadku akcesoriów podłączanych podczas rozruchu.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43262: Pyrophoria, anonimowy badacz z GrapheneOS, James J Kalafus, Michel Migdal

WebKit

Zagrożenie: witryna internetowa mogła uzyskać dostęp do informacji z czujników bez zgody użytkownika.

Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.

WebKit Bugzilla: 296153

CVE-2025-43356: Jaydev Ahire

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 294550

CVE-2025-43272: Big Bear

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 296490

CVE-2025-43343: anonimowy badacz

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: naprawiono błąd poprawności przez poprawienie sprawdzania.

WebKit Bugzilla: 296042

CVE-2025-43342: anonimowy badacz

WebKit Process Model

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

WebKit Bugzilla: 296276

CVE-2025-43368: Pawel Wylecial zREDTEAM.PL w ramach programu Zero Day Initiative firmy Trend Micro

WindowServer

Zagrożenie: aplikacja może być w stanie nakłonić użytkownika skopiowania poufnych danych do schowka.

Opis: naprawiono błąd konfiguracji przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43310: anonimowy badacz

Additional recognition

Accounts

Dziękujemy za udzieloną pomoc: 要乐奈.

AMD

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

Airport

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Kandji.

AppleCredentialManager

Dziękujemy za udzieloną pomoc: Anmol Jain.

Application Firewall

Dziękujemy za udzieloną pomoc: Dawuge z Shuffle Team.

AuthKit

Dziękujemy za udzieloną pomoc: Rosyna Keller z Totally Not Malicious Software.

Bluetooth

Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).

Books

Dziękujemy za udzieloną pomoc: Keisuke Chinone (Iroiro).

Calendar

Dziękujemy za udzieloną pomoc: Keisuke Chinone (Iroiro).

CFNetwork

Dziękujemy za udzieloną pomoc: Christian Kohlschütter.

CloudKit

Dziękujemy za udzieloną pomoc: Yinyi Wu (@_3ndy1) z Dawn Security Lab firmy JD.com, Inc.

Control Center

Dziękujemy za udzieloną pomoc: Damitha Gunawardena.

Core Bluetooth

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

CoreMedia

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon), Noah Gregory (wts.dev).

CUPS

Dziękujemy za udzieloną pomoc: Ali Razmjoo, Alperen T. Ugurlu, Puru Gupta, evilsocket.

darwinOS

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

Device Recovery

Dziękujemy anonimowemu badaczowi za pomoc.

Files

Dziękujemy za udzieloną pomoc: Tyler Montgomery.

Foundation

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Kandji.

iCloud Photo Library

Dziękujemy za udzieloną pomoc: Dawuge z Shuffle Team, Hikerell (Loadshine Lab), Joshua Jones, YingQi Shi (@Mas0nShi) i ChengQiang Jin (@白斩鸡) z laboratorium WeBin firmy DBAppSecurity.

ImageIO

Dziękujemy za udzieloną pomoc: DongJun Kim (@smlijun) i JongSeong Kim (@nevul37) z Enki WhiteHat.

IOGPUFamily

Dziękujemy za udzieloną pomoc: Wang Yu z Cyberserval.

Kernel

Dziękujemy za udzieloną pomoc: Yepeng Pan, prof. dr Christian Rossow.

libc

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

libedit

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

libpthread

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

libxml2

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

Lockdown Mode

Dziękujemy za udzieloną pomoc: Pyrophoria i Ethan Day, kado.

mDNSResponder

Dziękujemy za udzieloną pomoc: Barrett Lyon.

MobileBackup

Dziękujemy za udzieloną pomoc: Dragon Fruit Security (Davis Dai i ORAC落云 i Frank Du).

Networking

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Kandji.

Notes

Dziękujemy za udzieloną pomoc: Atul R V.

NSRemoteView

Dziękujemy za udzieloną pomoc: Manuel Fernandez (Stackhopper Security).

PackageKit

Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).

Passwords

Dziękujemy za udzieloną pomoc: Christian Kohlschütter.

PDFKit

Dziękujemy za udzieloną pomoc: Vincent Reckendrees.

Quick Look

Dziękujemy za udzieloną pomoc: Tom Hensel z Chaos Computer Club.

Safari

Dziękujemy za udzieloną pomoc: Ameen Basha M K.

Setup Assistant

Dziękujemy za udzieloną pomoc: Edwin R.

SharedFileList

Dziękujemy za udzieloną pomoc: Ye Zhang z Baidu Security.

smbx

Dziękujemy za udzieloną pomoc: zbleet z QI-ANXIN TianGong Team.

Spotlight

Dziękujemy za udzieloną pomoc: Christian Scalese.

Text Input

Dziękujemy za udzieloną pomoc: Zhongcheng Li z IES Red Team firmy ByteDance.

Time Machine

Dziękujemy za udzieloną pomoc: Matej Moravec (@MacejkoMoravec).

Transparency

Dziękujemy za udzieloną pomoc: Wojciech Regula z SecuRing (wojciechregula.blog), 要乐奈.

WebKit

Dziękujemy za udzieloną pomoc: Bob Lord, Matthew Liang, Mike Cardwell z grepular.com, Yiğit Can YILMAZ (@yilmazcanyigit).

Wi-Fi

Dziękujemy za udzieloną pomoc: Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) z Kandji, Noah Gregory (wts.dev), Wojciech Regula z SecuRing (wojciechregula.blog), anonimowy badacz.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: 19 września 2025 г.