Acerca dos conteúdos de segurança do macOS Sonoma 14.7.5
Este documento descreve os conteúdos de segurança do macOS Sonoma 14.7.5.
Acerca das atualizações de segurança da Apple
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.
Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.
Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.
macOS Sonoma 14.7.5
Data de lançamento: 31 de março de 2025
AccountPolicy
Disponível para: macOS Sonoma
Impacto: uma app maliciosa poderá conseguir obter privilégios de raiz
Descrição: este problema foi resolvido através da remoção de código vulnerável.
CVE-2025-24234: um investigador anónimo
AirDrop
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir ler metadados de ficheiros arbitrários
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-24097: Ron Masas da BREAKPOINT.SH
AirPlay
Disponível para: macOS Sonoma
Impacto: um atacante na rede local poderá conseguir causar uma negação de serviço
Descrição: foi resolvido um problema de desreferenciação do indicador nulo através da validação melhorada da entrada.
CVE-2025-24177: Uri Katz (Oligo Security)
CVE-2025-24179: Uri Katz (Oligo Security)
Entrada adicionada a 28 de abril de 2025
AirPlay
Disponível para: macOS Sonoma
Impacto: um atacante na rede local poderá causar um encerramento inesperado da app
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2025-24251: Uri Katz (Oligo Security)
CVE-2025-31197: Uri Katz (Oligo Security)
Entrada adicionada a 28 de abril de 2025
AirPlay
Disponível para: macOS Sonoma
Impacto: um atacante na rede local poderá conseguir contornar a política de autenticação
Descrição: foi resolvido um problema de autenticação através da gestão melhorada do estado.
CVE-2025-24206: Uri Katz (Oligo Security)
Entrada adicionada a 28 de abril de 2025
AirPlay
Disponível para: macOS Sonoma
Impacto: um atacante na rede local poderá conseguir corromper a memória do processo
Descrição: foi resolvido um problema de validação da entrada.
CVE-2025-24126: Uri Katz (Oligo Security)
Entrada adicionada a 28 de abril de 2025
AirPlay
Disponível para: macOS Sonoma
Impacto: um utilizador não autenticado na mesma rede que um Mac com sessão iniciada poderia enviar-lhe comandos AirPlay sem emparelhamento
Descrição: um problema de acesso foi resolvido através da melhoria das restrições de acesso.
CVE-2025-24271: Uri Katz (Oligo Security)
Entrada adicionada a 28 de abril de 2025
AirPlay
Disponível para: macOS Sonoma
Impacto: um atacante na rede local poderá conseguir divulgar informações sensíveis do utilizador
Descrição: este problema foi resolvido através da remoção de código vulnerável.
CVE-2025-24270: Uri Katz (Oligo Security)
Entrada adicionada a 28 de abril de 2025
AirPlay
Disponível para: macOS Sonoma
Impacto: um atacante na rede local poderá conseguir causar uma negação de serviço
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2025-24131: Uri Katz (Oligo Security)
Entrada adicionada a 28 de abril de 2025
AirPlay
Disponível para: macOS Sonoma
Impacto: um atacante na rede local poderá causar um encerramento inesperado da app
Descrição: foi resolvido um problema de confusão de tipos através de verificações melhoradas.
CVE-2025-24129: Uri Katz (Oligo Security)
CVE-2025-30445: Uri Katz (Oligo Security)
Entrada adicionada a 28 de abril de 2025
AirPlay
Disponível para: macOS Sonoma
Impacto: um atacante na rede local poderá conseguir corromper a memória do processo
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.
CVE-2025-24252: Uri Katz (Oligo Security)
Entrada adicionada a 28 de abril de 2025
App Store
Disponível para: macOS Sonoma
Impacto: uma app maliciosa poderá conseguir aceder a informações privadas
Descrição: este problema foi resolvido através da remoção de código vulnerável.
CVE-2025-24276: um investigador anónimo
Apple Account
Disponível para: macOS Sonoma
Impacto: um atacante com uma posição privilegiada na rede poderá conseguir monitorizar a atividade de um utilizador
Descrição: o problema foi resolvido através do processamento melhorado de protocolos.
CVE-2024-40864: Wojciech Regula da SecuRing (wojciechregula.blog)
Entrada atualizada a 2 de abril de 2025
AppleMobileFileIntegrity
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2025-24272: Mickey Jin (@patch1t)
CVE-2025-24231: Claudio Bozzato e Francesco Benvenuto da Cisco Talos
AppleMobileFileIntegrity
Disponível para: macOS Sonoma
Impacto: uma app maliciosa poderá conseguir ler ou escrever em ficheiros protegidos
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-24233: Claudio Bozzato e Francesco Benvenuto da Cisco Talos.
AppleMobileFileIntegrity
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: um problema de privacidade foi resolvido através da remoção de código vulnerável.
CVE-2025-30443: Bohdan Stasiuk (@bohdan_stasiuk)
Audio
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir contornar a ASLR
Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.
CVE-2025-43205: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro
Entrada adicionada a 29 de julho de 2025
Audio
Disponível para: macOS Sonoma
Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2025-24243: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro
Audio
Disponível para: macOS Sonoma
Impacto: o processamento de um tipo de letra criado com intuito malicioso poderá provocar a divulgação da memória de processamento
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2025-24244: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro
Automator
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: foi resolvido um problema de permissões através da remoção do código vulnerável e da adição de verificações adicionais.
CVE-2025-30460: um investigador anónimo
BiometricKit
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema
Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.
CVE-2025-24237: Yutong Xiu (@Sou1gh0st)
Entrada atualizada a 28 de maio de 2025
Calendar
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: foi resolvido um problema de gestão de caminhos através da validação melhorada.
CVE-2025-30429: Denis Tokarev (@illusionofcha0s)
Calendar
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2025-24212: Denis Tokarev (@illusionofcha0s)
CloudKit
Disponível para: macOS Sonoma
Impacto: uma app maliciosa poderá conseguir aceder a informações privadas
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2025-24215: Kirin (@Pwnrin)
CoreAudio
Disponível para: macOS Sonoma
Impacto: reproduzir um ficheiro de áudio malicioso poderá provocar o encerramento inesperado da app
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada da entrada.
CVE-2025-24230: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro
CoreMedia
Disponível para: macOS Sonoma
Impacto: uma aplicação maliciosa poderá conseguir aumentar os privilégios. A Apple tem conhecimento de uma denúncia de que este problema pode ter sido explorado ativamente contra versões do iOS anteriores ao iOS 17.2.
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.
CVE-2025-24085
CoreMedia
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de acesso através de restrições adicionais da sandbox.
CVE-2025-24236: Csaba Fitzl (@theevilbit) e Nolan Astrein da Kandji
CoreMedia
Disponível para: macOS Sonoma
Impacto: o processamento de um ficheiro de vídeo criado com intuito malicioso poderá provocar o encerramento inesperado da app ou à corrupção da memória do processo
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2025-24190: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro
CoreMedia
Disponível para: macOS Sonoma
Impacto: o processamento de um ficheiro de vídeo criado com intuito malicioso poderá provocar o encerramento inesperado da app ou à corrupção da memória do processo
Descrição: o problema foi resolvido através do processamento melhorado da memória.
CVE-2025-24211: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro
CoreMedia Playback
Disponível para: macOS Sonoma
Impacto: uma app maliciosa poderá conseguir aceder a informações privadas
Descrição: foi resolvido um problema de gestão de caminhos através da validação melhorada.
CVE-2025-30454: pattern-f (@pattern_F_)
CoreServices
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: este problema foi resolvido através da gestão melhorada do estado.
CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) da Microsoft e um investigador anónimo
CoreServices
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir obter privilégios de raiz
Descrição: foi resolvido um problema de lógica através de um processamento melhorado do ficheiro.
CVE-2025-24170: YingQi Shi (@Mas0nShi) da DBAppSecurity's WeBin lab e Minghao Lin (@Y1nKoc), Stephan Casas
CoreUtils
Disponível para: macOS Sonoma
Impacto: um atacante na rede local poderá conseguir causar uma negação de serviço
Descrição: foi resolvido um problema de ultrapassagem do limite máximo de números inteiros através da validação melhorada da entrada.
CVE-2025-31203: Uri Katz (Oligo Security)
Entrada adicionada a 28 de abril de 2025
Crash Reporter
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir obter privilégios de raiz
Descrição: foi resolvido um problema de análise no processamento dos caminhos de diretório com a validação melhorada do caminho.
CVE-2025-24277: Csaba Fitzl (@theevilbit) da Kandji e Gergely Kalman (@gergely_kalman), e um investigador anónimo
curl
Disponível para: macOS Sonoma
Impacto: foi resolvido um problema de validação da entrada
Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.
CVE-2024-9681
Disk Images
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: o contorno da quarentena de ficheiros foi resolvido através de verificações adicionais.
CVE-2025-31189: um investigador anónimo
Entrada adicionada a 28 de maio de 2025
Disk Images
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: foi resolvido um problema de acesso a ficheiros através da validação melhorada.
CVE-2025-24255: um investigador anónimo
DiskArbitration
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir obter privilégios de raiz
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-24267: um investigador anónimo
DiskArbitration
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir obter privilégios de raiz
Descrição: foi resolvido um problema de análise no processamento dos caminhos de diretório com a validação melhorada do caminho.
CVE-2025-30456: Gergely Kalman (@gergely_kalman)
Display
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema
Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.
CVE-2025-24111: Wang Yu da Cyberserval
Entrada adicionada a 12 de maio de 2025
Dock
Disponível para: macOS Sonoma
Impacto: uma app maliciosa poderá conseguir aceder a informações privadas
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2025-30455: Mickey Jin (@patch1t) e um investigador anónimo
Dock
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: este problema foi resolvido através da remoção de código vulnerável.
CVE-2025-31187: Rodolphe BRUNETTI (@eisw0lf) da Lupus Nova
dyld
Disponível para: macOS Sonoma
Impacto: as apps que parecem utilizar a Sandbox de app poderão conseguir ser iniciadas sem restrições
Descrição: foi resolvido um problema de injeção na biblioteca com restrições adicionais.
CVE-2025-30462: Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi da Shielder (shielder.com)
Foundation
Disponível para: macOS Sonoma
Impacto: uma app poderá causar uma recusa de serviço
Descrição: foi resolvido um problema de cadeia de formato sem controlo através da validação melhorada da entrada.
CVE-2025-24199: Manuel Fernandez (Stackhopper Security)
Foundation
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: o problema foi resolvido através da limpeza dos registos
CVE-2025-30447: LFY@secsys da Fudan University
GPU Drivers
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: o problema foi resolvido através de verificações melhoradas dos limites.
CVE-2025-24256: Murray Mike, investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro
GPU Drivers
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema ou danificar a memória do kernel
Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.
CVE-2025-24273: Wang Yu da Cyberserval
CVE-2025-30464: ABC Research s.r.o.
ImageIO
Disponível para: macOS Sonoma
Impacto: a análise de uma imagem poderá provocar a divulgação de informações do utilizador
Descrição: foi resolvido um erro de lógica através de um processamento melhorado do erro.
CVE-2025-24210: investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro
Installer
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir verificar a existência de um caminho arbitrário no sistema de ficheiros
Descrição: foi resolvido um problema de permissões com restrições adicionais da sandbox.
CVE-2025-24249: YingQi Shi (@Mas0nShi) do DBAppSecurity's WeBin lab e Minghao Lin (@Y1nKoc)
Installer
Disponível para: macOS Sonoma
Impacto: uma app em sandbox poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2025-24229: um investigador anónimo
Kerberos Helper
Disponível para: macOS Sonoma
Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado da app ou corrupção da área dinâmica para dados
Descrição: foi resolvido um problema de inicialização de memória através do processamento melhorado da memória.
CVE-2025-24235: Dave G. da Supernetworks
Entrada atualizada a 28 de maio de 2025
Kernel
Disponível para: macOS Sonoma
Impacto: uma app maliciosa poderá conseguir tentar introduzir o código de acesso num dispositivo bloqueado, causando assim atrasos crescentes após 4 falhas
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol
Kernel
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2025-24203: Ian Beer do Google Project Zero
Kernel
Disponível para: macOS Sonoma
Impacto: um atacante com privilégios de utilizador poderá conseguir ler a memória do kernel
Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado da memória.
CVE-2025-24196: Joseph Ravichandran (@0xjprx) da MIT CSAIL
LaunchServices
Disponível para: macOS Sonoma
Impacto: um ficheiro JAR malicioso poderá ignorar as verificações do Gatekeeper
Descrição: este problema foi resolvido através do tratamento melhorado de tipos de executável.
CVE-2025-24148: Kenneth Chew
Libinfo
Disponível para: macOS Sonoma
Impacto: um utilizador poderá conseguir aumentar privilégios
Descrição: foi resolvido um problema de ultrapassagem do limite máximo de números inteiros através da validação melhorada da entrada.
CVE-2025-24195: Paweł Płatek (Trail of Bits)
libxml2
Disponível para: macOS Sonoma
Impacto: a análise de um ficheiro poderá provocar o encerramento inesperado de uma app
Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.
CVE-2025-27113
CVE-2024-56171
libxpc
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: este problema foi resolvido através da gestão melhorada do estado.
CVE-2025-24178: um investigador anónimo
libxpc
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir apagar ficheiros para os quais não tem permissão
Descrição: este problema foi resolvido através do tratamento melhorado de ligações simbólicas.
CVE-2025-31182: 风沐云烟(@binary_fmyy) e Minghao Lin(@Y1nKoc), Alex Radocea e Dave G. da Supernetworks
libxpc
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir obter privilégios elevados
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2025-24238: um investigador anónimo
macOS Recovery
Disponível para: macOS Sonoma
Impacto: um atacante com acesso físico a um dispositivo bloqueado poderá conseguir ver informações confidenciais do utilizador
Descrição: foi resolvido um problema de autenticação através da gestão melhorada do estado.
CVE-2025-31264: Diamant Osmani & Valdrin Haliti [Kosovë], dbpeppe, Solitechworld
Entrada adicionada a 28 de maio de 2025
Disponível para: macOS Sonoma
Impact: "Bloquear conteúdo remoto" pode não se aplicar a todas as pré-visualizações de correio
Descrição: foi resolvido um problema de permissões com restrições adicionais da sandbox.
CVE-2025-24172: um investigador anónimo
manpages
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.
CVE-2025-30450: Pwn2car
Maps
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir ler informações confidenciais de localização
Descrição: foi resolvido um problema de gestão de caminhos através da lógica melhorada.
CVE-2025-30470: LFY@secsys da Fudan University
NSDocument
Disponível para: macOS Sonoma
Impacto: uma app maliciosa poderá conseguir aceder a ficheiros arbitrários
Descrição: este problema foi resolvido através da gestão melhorada do estado.
CVE-2025-24232: um investigador anónimo
OpenSSH
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de injeção através da validação melhorada.
CVE-2025-24246: Mickey Jin (@patch1t) e Csaba Fitzl (@theevilbit) da Kandji
Entrada atualizada a 28 de maio de 2025
PackageKit
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2025-24261: Mickey Jin (@patch1t)
PackageKit
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2025-24164: Mickey Jin (@patch1t)
PackageKit
Disponível para: macOS Sonoma
Impacto: uma app maliciosa com privilégios de raiz poderá conseguir modificar o conteúdo de ficheiros do sistema
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-30446: Pedro Tôrres (@t0rr3sp3dr0)
Parental Controls
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir recuperar marcadores do Safari sem uma verificação de direitos
Descrição: este problema foi revolvido através de verificações de direitos adicionais.
CVE-2025-24259: Noah Gregory (wts.dev)
Photos Storage
Disponível para: macOS Sonoma
Impacto: eliminar uma conversa nas Mensagens poderá revelar as informações de contacto do utilizador no registo do sistema
Descrição: foi resolvido um problema de registo com uma redação de dados melhorada.
CVE-2025-30424: um investigador anónimo
Power Services
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: este problema foi revolvido através de verificações de direitos adicionais.
CVE-2025-24173: Mickey Jin (@patch1t)
Sandbox
Disponível para: macOS Sonoma
Impacto: foi resolvido um problema de validação da entrada
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2025-30452: um investigador anónimo
Sandbox
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-24181: Arsenii Kostromin (0x3c3e)
Security
Disponível para: macOS Sonoma
Impacto: um utilizador remoto poderá conseguir provocar uma recusa de serviço
Descrição: foi resolvido um problema de validação através da lógica melhorada.
CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai do Alibaba Group, Luyi Xing da Indiana University Bloomington
Security
Disponível para: macOS Sonoma
Impacto: uma app maliciosa a atuar como um proxy de HTTPS poderá obter acesso a dados confidenciais do utilizador
Descrição: este problema foi resolvido através de restrições de acesso melhoradas.
CVE-2025-24250: Wojciech Regula da SecuRing (wojciechregula.blog)
Share Sheet
Disponível para: macOS Sonoma
Impacto: uma app maliciosa poderá conseguir ignorar a notificação do sistema no ecrã bloqueado de que foi iniciada uma gravação
Descrição: este problema foi resolvido através de restrições de acesso melhoradas.
CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org
Shortcuts
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de acesso através de restrições adicionais da sandbox.
CVE-2025-24280: Kirin (@Pwnrin)
Shortcuts
Disponível para: macOS Sonoma
Impacto: um atalho poderá ser executado com privilégios de administrador sem autenticação
Descrição: foi resolvido um problema de autenticação através da gestão melhorada do estado.
CVE-2025-31194: Dolf Hoegaerts, Michiel Devliegere
Entrada atualizada a 28 de maio de 2025
Shortcuts
Disponível para: macOS Sonoma
Impacto: um atalho poderá conseguir aceder a ficheiros que são normalmente inacessíveis à app Atalhos
Descrição: foi resolvido um problema de permissões através da validação melhorada.
CVE-2025-30465: um investigador anónimo
Shortcuts
Disponível para: macOS Sonoma
Impacto: um atalho poderá conseguir aceder a ficheiros que são normalmente inacessíveis à app Atalhos
Descrição: este problema foi resolvido através de restrições de acesso melhoradas.
CVE-2025-30433: Andrew James Gonzalez
Siri
Disponível para: macOS Sonoma
Impacto: um atacante com acesso físico poderá conseguir utilizar a Siri para aceder a dados confidenciais do utilizador
Descrição: este problema foi resolvido através da restrição das opções disponíveis num dispositivo bloqueado.
CVE-2025-24198: Richard Hyunho Im (@richeeta) com routezero.security
Siri
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: o problema foi resolvido através da restrição melhorada do acesso ao contentor de dados.
CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)
Siri
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de autorização através da gestão melhorada do estado.
CVE-2025-24205: YingQi Shi (@Mas0nShi) do DBAppSecurity's WeBin lab e Minghao Lin (@Y1nKoc)
SMB
Disponível para: macOS Sonoma
Impacto: a montagem de uma partilha de rede SMB criada com intuito malicioso poderá levar ao encerramento do sistema
Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.
CVE-2025-30444: Dave G. da Supernetworks
Entrada atualizada a 28 de maio de 2025
SMB
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através do processamento melhorado da memória.
CVE-2025-24228: Joseph Ravichandran (@0xjprx) da MIT CSAIL
smbx
Disponível para: macOS Sonoma
Impacto: um atacante com uma posição privilegiada poderá conseguir provocar uma recusa de serviço
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2025-24260: zbleet da QI-ANXIN TianGong Team
Software Update
Disponível para: macOS Sonoma
Impacto: um utilizador poderá conseguir aumentar privilégios
Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.
CVE-2025-24254: Arsenii Kostromin (0x3c3e)
Spotlight
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de permissões com restrições adicionais da sandbox.
CVE-2024-54533: Csaba Fitzl (@theevilbit) da OffSec
StorageKit
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: foi resolvido um problema de permissões com restrições adicionais da sandbox.
CVE-2025-31261: Mickey Jin (@patch1t)
Entrada adicionada a 28 de maio de 2025
Storage Management
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir ativar as funcionalidades de armazenamento em iCloud sem o consentimento do utilizador
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-24207: 风沐云烟 (binary_fmyy) e Minghao Lin (@Y1nKoc), YingQi Shi (@Mas0nShi) da DBAppSecurity's WeBin lab
StorageKit
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir obter privilégios de raiz
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-30449: um investigador anónimo, Arsenii Kostromin (0x3c3e)
StorageKit
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: este problema foi resolvido através do tratamento melhorado de ligações simbólicas.
CVE-2025-24253: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) da Kandji
StorageKit
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir contornar as preferências de privacidade
Descrição: foi resolvida uma condição de disputa através de validação adicional.
CVE-2025-31188: Mickey Jin (@patch1t)
StorageKit
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvida uma condição de disputa através de validação adicional.
CVE-2025-24240: Mickey Jin (@patch1t)
System Settings
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.
CVE-2025-24278: Zhongquan Li (@Guluisacat)
SystemMigration
Disponível para: macOS Sonoma
Impacto: uma app maliciosa poderá conseguir criar ligações simbólicas para zonas protegidas do disco
Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.
CVE-2025-30457: Mickey Jin (@patch1t)
Voice Control
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder aos contactos
Descrição: este problema foi resolvido através da melhoria do processamento de ficheiros.
CVE-2025-24279: Mickey Jin (@patch1t)
WindowServer
Disponível para: macOS Sonoma
Impacto: um atacante poderá conseguir provocar o encerramento inesperado de apps
Descrição: foi resolvido um problema de confusão de tipos através de verificações melhoradas.
CVE-2025-24247: PixiePoint Security
WindowServer
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir enganar um utilizador ao copiar dados confidenciais para a área de colagem
Descrição: foi resolvido um problema de configuração com restrições adicionais.
CVE-2025-24241: Andreas Hegenberg (folivora.AI GmbH)
Xsan
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema
Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.
CVE-2025-24266: um investigador anónimo
Xsan
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
CVE-2025-24265: um investigador anónimo
Xsan
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema ou danificar a memória do kernel
Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através do processamento melhorado da memória.
CVE-2025-24157: um investigador anónimo
zip
Disponível para: macOS Sonoma
Impacto: foi resolvido um problema de gestão de caminhos através da validação melhorada
Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.
CVE-2025-31198: Jonathan Bar Or (@yo_yo_yo_jbo) da Microsoft
Entrada adicionada a 28 de maio de 2025
Agradecimentos adicionais
AirPlay
Gostaríamos de agradecer a Uri Katz (Oligo Security) pela sua colaboração.
Entrada adicionada a 28 de abril de 2025
configd
Gostaríamos de agradecer a Andrei-Alexandru Bleorțu pela sua colaboração.
Entrada adicionada a 28 de maio de 2025
Security
Gostaríamos de agradecer a Kevin Jones (GitHub) pela sua colaboração.
Shortcuts
Gostaríamos de agradecer a Chi Yuan Chang da ZUSO ART e taikosoup pela sua colaboração.
SMB
Gostaríamos de agradecer a Dave G. da Supernetworks pela sua colaboração.
Entrada atualizada a 23 de maio de 2025
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.