Acerca dos conteúdos de segurança do macOS Sonoma 14.7.5

Este documento descreve os conteúdos de segurança do macOS Sonoma 14.7.5.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

macOS Sonoma 14.7.5

Data de lançamento: 31 de março de 2025

AccountPolicy

Disponível para: macOS Sonoma

Impacto: uma app maliciosa poderá conseguir obter privilégios de raiz

Descrição: este problema foi resolvido através da remoção de código vulnerável.

CVE-2025-24234: um investigador anónimo

AirDrop

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir ler metadados de ficheiros arbitrários

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-24097: Ron Masas da BREAKPOINT.SH

AirPlay

Disponível para: macOS Sonoma

Impacto: um atacante na rede local poderá conseguir causar uma negação de serviço

Descrição: foi resolvido um problema de desreferenciação do indicador nulo através da validação melhorada da entrada.

CVE-2025-24177: Uri Katz (Oligo Security)

CVE-2025-24179: Uri Katz (Oligo Security)

Entrada adicionada a 28 de abril de 2025

AirPlay

Disponível para: macOS Sonoma

Impacto: um atacante na rede local poderá causar um encerramento inesperado da app

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

Entrada adicionada a 28 de abril de 2025

AirPlay

Disponível para: macOS Sonoma

Impacto: um atacante na rede local poderá conseguir contornar a política de autenticação

Descrição: foi resolvido um problema de autenticação através da gestão melhorada do estado.

CVE-2025-24206: Uri Katz (Oligo Security)

Entrada adicionada a 28 de abril de 2025

AirPlay

Disponível para: macOS Sonoma

Impacto: um atacante na rede local poderá conseguir corromper a memória do processo

Descrição: foi resolvido um problema de validação da entrada.

CVE-2025-24126: Uri Katz (Oligo Security)

Entrada adicionada a 28 de abril de 2025

AirPlay

Disponível para: macOS Sonoma

Impacto: um utilizador não autenticado na mesma rede que um Mac com sessão iniciada poderia enviar-lhe comandos AirPlay sem emparelhamento

Descrição: um problema de acesso foi resolvido através da melhoria das restrições de acesso.

CVE-2025-24271: Uri Katz (Oligo Security)

Entrada adicionada a 28 de abril de 2025

AirPlay

Disponível para: macOS Sonoma

Impacto: um atacante na rede local poderá conseguir divulgar informações sensíveis do utilizador

Descrição: este problema foi resolvido através da remoção de código vulnerável.

CVE-2025-24270: Uri Katz (Oligo Security)

Entrada adicionada a 28 de abril de 2025

AirPlay

Disponível para: macOS Sonoma

Impacto: um atacante na rede local poderá conseguir causar uma negação de serviço

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2025-24131: Uri Katz (Oligo Security)

Entrada adicionada a 28 de abril de 2025

AirPlay

Disponível para: macOS Sonoma

Impacto: um atacante na rede local poderá causar um encerramento inesperado da app

Descrição: foi resolvido um problema de confusão de tipos através de verificações melhoradas.

CVE-2025-24129: Uri Katz (Oligo Security)

CVE-2025-30445: Uri Katz (Oligo Security)

Entrada adicionada a 28 de abril de 2025

AirPlay

Disponível para: macOS Sonoma

Impacto: um atacante na rede local poderá conseguir corromper a memória do processo

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.

CVE-2025-24252: Uri Katz (Oligo Security)

Entrada adicionada a 28 de abril de 2025

App Store

Disponível para: macOS Sonoma

Impacto: uma app maliciosa poderá conseguir aceder a informações privadas

Descrição: este problema foi resolvido através da remoção de código vulnerável.

CVE-2025-24276: um investigador anónimo

Apple Account

Disponível para: macOS Sonoma

Impacto: um atacante com uma posição privilegiada na rede poderá conseguir monitorizar a atividade de um utilizador

Descrição: o problema foi resolvido através do processamento melhorado de protocolos.

CVE-2024-40864: Wojciech Regula da SecuRing (wojciechregula.blog)

Entrada atualizada a 2 de abril de 2025

AppleMobileFileIntegrity

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2025-24272: Mickey Jin (@patch1t)

CVE-2025-24231: Claudio Bozzato e Francesco Benvenuto da Cisco Talos

AppleMobileFileIntegrity

Disponível para: macOS Sonoma

Impacto: uma app maliciosa poderá conseguir ler ou escrever em ficheiros protegidos

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-24233: Claudio Bozzato e Francesco Benvenuto da Cisco Talos.

AppleMobileFileIntegrity

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: um problema de privacidade foi resolvido através da remoção de código vulnerável.

CVE-2025-30443: Bohdan Stasiuk (@bohdan_stasiuk)

Audio

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir contornar a ASLR

Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.

CVE-2025-43205: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro

Entrada adicionada a 29 de julho de 2025

Audio

Disponível para: macOS Sonoma

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2025-24243: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro

Audio

Disponível para: macOS Sonoma

Impacto: o processamento de um tipo de letra criado com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2025-24244: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro

Automator

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões através da remoção do código vulnerável e da adição de verificações adicionais.

CVE-2025-30460: um investigador anónimo

BiometricKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Entrada atualizada a 28 de maio de 2025

Calendar

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: foi resolvido um problema de gestão de caminhos através da validação melhorada.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CloudKit

Disponível para: macOS Sonoma

Impacto: uma app maliciosa poderá conseguir aceder a informações privadas

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2025-24215: Kirin (@Pwnrin)

CoreAudio

Disponível para: macOS Sonoma

Impacto: reproduzir um ficheiro de áudio malicioso poderá provocar o encerramento inesperado da app

Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada da entrada.

CVE-2025-24230: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro

CoreMedia

Disponível para: macOS Sonoma

Impacto: uma aplicação maliciosa poderá conseguir aumentar os privilégios. A Apple tem conhecimento de uma denúncia de que este problema pode ter sido explorado ativamente contra versões do iOS anteriores ao iOS 17.2.

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.

CVE-2025-24085

CoreMedia

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de acesso através de restrições adicionais da sandbox.

CVE-2025-24236: Csaba Fitzl (@theevilbit) e Nolan Astrein da Kandji

CoreMedia

Disponível para: macOS Sonoma

Impacto: o processamento de um ficheiro de vídeo criado com intuito malicioso poderá provocar o encerramento inesperado da app ou à corrupção da memória do processo

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2025-24190: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro

CoreMedia

Disponível para: macOS Sonoma

Impacto: o processamento de um ficheiro de vídeo criado com intuito malicioso poderá provocar o encerramento inesperado da app ou à corrupção da memória do processo

Descrição: o problema foi resolvido através do processamento melhorado da memória.

CVE-2025-24211: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro

CoreMedia Playback

Disponível para: macOS Sonoma

Impacto: uma app maliciosa poderá conseguir aceder a informações privadas

Descrição: foi resolvido um problema de gestão de caminhos através da validação melhorada.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) da Microsoft e um investigador anónimo

CoreServices

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir obter privilégios de raiz

Descrição: foi resolvido um problema de lógica através de um processamento melhorado do ficheiro.

CVE-2025-24170: YingQi Shi (@Mas0nShi) da DBAppSecurity's WeBin lab e Minghao Lin (@Y1nKoc), Stephan Casas

CoreUtils

Disponível para: macOS Sonoma

Impacto: um atacante na rede local poderá conseguir causar uma negação de serviço

Descrição: foi resolvido um problema de ultrapassagem do limite máximo de números inteiros através da validação melhorada da entrada.

CVE-2025-31203: Uri Katz (Oligo Security)

Entrada adicionada a 28 de abril de 2025

Crash Reporter

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir obter privilégios de raiz

Descrição: foi resolvido um problema de análise no processamento dos caminhos de diretório com a validação melhorada do caminho.

CVE-2025-24277: Csaba Fitzl (@theevilbit) da Kandji e Gergely Kalman (@gergely_kalman), e um investigador anónimo

curl

Disponível para: macOS Sonoma

Impacto: foi resolvido um problema de validação da entrada

Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.

CVE-2024-9681

Disk Images

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: o contorno da quarentena de ficheiros foi resolvido através de verificações adicionais.

CVE-2025-31189: um investigador anónimo

Entrada adicionada a 28 de maio de 2025

Disk Images

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: foi resolvido um problema de acesso a ficheiros através da validação melhorada.

CVE-2025-24255: um investigador anónimo

DiskArbitration

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir obter privilégios de raiz

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-24267: um investigador anónimo

DiskArbitration

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir obter privilégios de raiz

Descrição: foi resolvido um problema de análise no processamento dos caminhos de diretório com a validação melhorada do caminho.

CVE-2025-30456: Gergely Kalman (@gergely_kalman)

Display

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema

Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.

CVE-2025-24111: Wang Yu da Cyberserval

Entrada adicionada a 12 de maio de 2025

Dock

Disponível para: macOS Sonoma

Impacto: uma app maliciosa poderá conseguir aceder a informações privadas

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2025-30455: Mickey Jin (@patch1t) e um investigador anónimo

Dock

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: este problema foi resolvido através da remoção de código vulnerável.

CVE-2025-31187: Rodolphe BRUNETTI (@eisw0lf) da Lupus Nova

dyld

Disponível para: macOS Sonoma

Impacto: as apps que parecem utilizar a Sandbox de app poderão conseguir ser iniciadas sem restrições

Descrição: foi resolvido um problema de injeção na biblioteca com restrições adicionais.

CVE-2025-30462: Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi da Shielder (shielder.com)

Foundation

Disponível para: macOS Sonoma

Impacto: uma app poderá causar uma recusa de serviço

Descrição: foi resolvido um problema de cadeia de formato sem controlo através da validação melhorada da entrada.

CVE-2025-24199: Manuel Fernandez (Stackhopper Security)

Foundation

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: o problema foi resolvido através da limpeza dos registos

CVE-2025-30447: LFY@secsys da Fudan University

GPU Drivers

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir divulgar a memória do kernel

Descrição: o problema foi resolvido através de verificações melhoradas dos limites.

CVE-2025-24256: Murray Mike, investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro

GPU Drivers

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema ou danificar a memória do kernel

Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.

CVE-2025-24273: Wang Yu da Cyberserval

CVE-2025-30464: ABC Research s.r.o.

ImageIO

Disponível para: macOS Sonoma

Impacto: a análise de uma imagem poderá provocar a divulgação de informações do utilizador

Descrição: foi resolvido um erro de lógica através de um processamento melhorado do erro.

CVE-2025-24210: investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro

Installer

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir verificar a existência de um caminho arbitrário no sistema de ficheiros

Descrição: foi resolvido um problema de permissões com restrições adicionais da sandbox.

CVE-2025-24249: YingQi Shi (@Mas0nShi) do DBAppSecurity's WeBin lab e Minghao Lin (@Y1nKoc)

Installer

Disponível para: macOS Sonoma

Impacto: uma app em sandbox poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2025-24229: um investigador anónimo

Kerberos Helper

Disponível para: macOS Sonoma

Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado da app ou corrupção da área dinâmica para dados

Descrição: foi resolvido um problema de inicialização de memória através do processamento melhorado da memória.

CVE-2025-24235: Dave G. da Supernetworks

Entrada atualizada a 28 de maio de 2025

Kernel

Disponível para: macOS Sonoma

Impacto: uma app maliciosa poderá conseguir tentar introduzir o código de acesso num dispositivo bloqueado, causando assim atrasos crescentes após 4 falhas

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

Kernel

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2025-24203: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sonoma

Impacto: um atacante com privilégios de utilizador poderá conseguir ler a memória do kernel

Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado da memória.

CVE-2025-24196: Joseph Ravichandran (@0xjprx) da MIT CSAIL

LaunchServices

Disponível para: macOS Sonoma

Impacto: um ficheiro JAR malicioso poderá ignorar as verificações do Gatekeeper

Descrição: este problema foi resolvido através do tratamento melhorado de tipos de executável.

CVE-2025-24148: Kenneth Chew

Libinfo

Disponível para: macOS Sonoma

Impacto: um utilizador poderá conseguir aumentar privilégios

Descrição: foi resolvido um problema de ultrapassagem do limite máximo de números inteiros através da validação melhorada da entrada.

CVE-2025-24195: Paweł Płatek (Trail of Bits)

libxml2

Disponível para: macOS Sonoma

Impacto: a análise de um ficheiro poderá provocar o encerramento inesperado de uma app

Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2025-24178: um investigador anónimo

libxpc

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir apagar ficheiros para os quais não tem permissão

Descrição: este problema foi resolvido através do tratamento melhorado de ligações simbólicas.

CVE-2025-31182: 风沐云烟(@binary_fmyy) e Minghao Lin(@Y1nKoc), Alex Radocea e Dave G. da Supernetworks

libxpc

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir obter privilégios elevados

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2025-24238: um investigador anónimo

macOS Recovery

Disponível para: macOS Sonoma

Impacto: um atacante com acesso físico a um dispositivo bloqueado poderá conseguir ver informações confidenciais do utilizador

Descrição: foi resolvido um problema de autenticação através da gestão melhorada do estado.

CVE-2025-31264: Diamant Osmani & Valdrin Haliti [Kosovë], dbpeppe, Solitechworld

Entrada adicionada a 28 de maio de 2025

Mail

Disponível para: macOS Sonoma

Impact: "Bloquear conteúdo remoto" pode não se aplicar a todas as pré-visualizações de correio

Descrição: foi resolvido um problema de permissões com restrições adicionais da sandbox.

CVE-2025-24172: um investigador anónimo

manpages

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.

CVE-2025-30450: Pwn2car

Maps

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir ler informações confidenciais de localização

Descrição: foi resolvido um problema de gestão de caminhos através da lógica melhorada.

CVE-2025-30470: LFY@secsys da Fudan University

NSDocument

Disponível para: macOS Sonoma

Impacto: uma app maliciosa poderá conseguir aceder a ficheiros arbitrários

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2025-24232: um investigador anónimo

OpenSSH

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de injeção através da validação melhorada.

CVE-2025-24246: Mickey Jin (@patch1t) e Csaba Fitzl (@theevilbit) da Kandji

Entrada atualizada a 28 de maio de 2025

PackageKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2025-24261: Mickey Jin (@patch1t)

PackageKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2025-24164: Mickey Jin (@patch1t)

PackageKit

Disponível para: macOS Sonoma

Impacto: uma app maliciosa com privilégios de raiz poderá conseguir modificar o conteúdo de ficheiros do sistema

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-30446: Pedro Tôrres (@t0rr3sp3dr0)

Parental Controls

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir recuperar marcadores do Safari sem uma verificação de direitos

Descrição: este problema foi revolvido através de verificações de direitos adicionais.

CVE-2025-24259: Noah Gregory (wts.dev)

Photos Storage

Disponível para: macOS Sonoma

Impacto: eliminar uma conversa nas Mensagens poderá revelar as informações de contacto do utilizador no registo do sistema

Descrição: foi resolvido um problema de registo com uma redação de dados melhorada.

CVE-2025-30424: um investigador anónimo

Power Services

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: este problema foi revolvido através de verificações de direitos adicionais.

CVE-2025-24173: Mickey Jin (@patch1t)

Sandbox

Disponível para: macOS Sonoma

Impacto: foi resolvido um problema de validação da entrada

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2025-30452: um investigador anónimo

Sandbox

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-24181: Arsenii Kostromin (0x3c3e)

Security

Disponível para: macOS Sonoma

Impacto: um utilizador remoto poderá conseguir provocar uma recusa de serviço

Descrição: foi resolvido um problema de validação através da lógica melhorada.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai do Alibaba Group, Luyi Xing da Indiana University Bloomington

Security

Disponível para: macOS Sonoma

Impacto: uma app maliciosa a atuar como um proxy de HTTPS poderá obter acesso a dados confidenciais do utilizador

Descrição: este problema foi resolvido através de restrições de acesso melhoradas.

CVE-2025-24250: Wojciech Regula da SecuRing (wojciechregula.blog)

Share Sheet

Disponível para: macOS Sonoma

Impacto: uma app maliciosa poderá conseguir ignorar a notificação do sistema no ecrã bloqueado de que foi iniciada uma gravação

Descrição: este problema foi resolvido através de restrições de acesso melhoradas.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de acesso através de restrições adicionais da sandbox.

CVE-2025-24280: Kirin (@Pwnrin)

Shortcuts

Disponível para: macOS Sonoma

Impacto: um atalho poderá ser executado com privilégios de administrador sem autenticação

Descrição: foi resolvido um problema de autenticação através da gestão melhorada do estado.

CVE-2025-31194: Dolf Hoegaerts, Michiel Devliegere

Entrada atualizada a 28 de maio de 2025

Shortcuts

Disponível para: macOS Sonoma

Impacto: um atalho poderá conseguir aceder a ficheiros que são normalmente inacessíveis à app Atalhos

Descrição: foi resolvido um problema de permissões através da validação melhorada.

CVE-2025-30465: um investigador anónimo

Shortcuts

Disponível para: macOS Sonoma

Impacto: um atalho poderá conseguir aceder a ficheiros que são normalmente inacessíveis à app Atalhos

Descrição: este problema foi resolvido através de restrições de acesso melhoradas.

CVE-2025-30433: Andrew James Gonzalez

Siri

Disponível para: macOS Sonoma

Impacto: um atacante com acesso físico poderá conseguir utilizar a Siri para aceder a dados confidenciais do utilizador

Descrição: este problema foi resolvido através da restrição das opções disponíveis num dispositivo bloqueado.

CVE-2025-24198: Richard Hyunho Im (@richeeta) com routezero.security

Siri

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: o problema foi resolvido através da restrição melhorada do acesso ao contentor de dados.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de autorização através da gestão melhorada do estado.

CVE-2025-24205: YingQi Shi (@Mas0nShi) do DBAppSecurity's WeBin lab e Minghao Lin (@Y1nKoc)

SMB

Disponível para: macOS Sonoma

Impacto: a montagem de uma partilha de rede SMB criada com intuito malicioso poderá levar ao encerramento do sistema

Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.

CVE-2025-30444: Dave G. da Supernetworks

Entrada atualizada a 28 de maio de 2025

SMB

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através do processamento melhorado da memória.

CVE-2025-24228: Joseph Ravichandran (@0xjprx) da MIT CSAIL

smbx

Disponível para: macOS Sonoma

Impacto: um atacante com uma posição privilegiada poderá conseguir provocar uma recusa de serviço

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2025-24260: zbleet da QI-ANXIN TianGong Team

Software Update

Disponível para: macOS Sonoma

Impacto: um utilizador poderá conseguir aumentar privilégios

Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.

CVE-2025-24254: Arsenii Kostromin (0x3c3e)

Spotlight

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais da sandbox.

CVE-2024-54533: Csaba Fitzl (@theevilbit) da OffSec

StorageKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões com restrições adicionais da sandbox.

CVE-2025-31261: Mickey Jin (@patch1t)

Entrada adicionada a 28 de maio de 2025

Storage Management

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir ativar as funcionalidades de armazenamento em iCloud sem o consentimento do utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-24207: 风沐云烟 (binary_fmyy) e Minghao Lin (@Y1nKoc), YingQi Shi (@Mas0nShi) da DBAppSecurity's WeBin lab

StorageKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir obter privilégios de raiz

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-30449: um investigador anónimo, Arsenii Kostromin (0x3c3e)

StorageKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: este problema foi resolvido através do tratamento melhorado de ligações simbólicas.

CVE-2025-24253: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) da Kandji

StorageKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir contornar as preferências de privacidade

Descrição: foi resolvida uma condição de disputa através de validação adicional.

CVE-2025-31188: Mickey Jin (@patch1t)

StorageKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvida uma condição de disputa através de validação adicional.

CVE-2025-24240: Mickey Jin (@patch1t)

System Settings

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.

CVE-2025-24278: Zhongquan Li (@Guluisacat)

SystemMigration

Disponível para: macOS Sonoma

Impacto: uma app maliciosa poderá conseguir criar ligações simbólicas para zonas protegidas do disco

Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.

CVE-2025-30457: Mickey Jin (@patch1t)

Voice Control

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder aos contactos

Descrição: este problema foi resolvido através da melhoria do processamento de ficheiros.

CVE-2025-24279: Mickey Jin (@patch1t)

WindowServer

Disponível para: macOS Sonoma

Impacto: um atacante poderá conseguir provocar o encerramento inesperado de apps

Descrição: foi resolvido um problema de confusão de tipos através de verificações melhoradas.

CVE-2025-24247: PixiePoint Security

WindowServer

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir enganar um utilizador ao copiar dados confidenciais para a área de colagem

Descrição: foi resolvido um problema de configuração com restrições adicionais.

CVE-2025-24241: Andreas Hegenberg (folivora.AI GmbH)

Xsan

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.

CVE-2025-24266: um investigador anónimo

Xsan

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema

Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.

CVE-2025-24265: um investigador anónimo

Xsan

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema ou danificar a memória do kernel

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através do processamento melhorado da memória.

CVE-2025-24157: um investigador anónimo

zip

Disponível para: macOS Sonoma

Impacto: foi resolvido um problema de gestão de caminhos através da validação melhorada

Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.

CVE-2025-31198: Jonathan Bar Or (@yo_yo_yo_jbo) da Microsoft

Entrada adicionada a 28 de maio de 2025

Agradecimentos adicionais

AirPlay

Gostaríamos de agradecer a Uri Katz (Oligo Security) pela sua colaboração.

Entrada adicionada a 28 de abril de 2025

configd

Gostaríamos de agradecer a Andrei-Alexandru Bleorțu pela sua colaboração.

Entrada adicionada a 28 de maio de 2025

Security

Gostaríamos de agradecer a Kevin Jones (GitHub) pela sua colaboração.

Shortcuts

Gostaríamos de agradecer a Chi Yuan Chang da ZUSO ART e taikosoup pela sua colaboração.

SMB

Gostaríamos de agradecer a Dave G. da Supernetworks pela sua colaboração.

Entrada atualizada a 23 de maio de 2025

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: