Despre conținutul de securitate din macOS Sonoma 14.7.6

Acest document descrie conținutul de securitate din macOS Sonoma 14.7.6.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

macOS Sonoma 14.7.6

afpfs

Disponibilitate pentru: macOS Sonoma

Impact: conectarea la un server AFP rău intenționat poate corupe memoria kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-31246: Joseph Ravichandran (@0xjprx) de la MIT CSAIL

afpfs

Disponibilitate pentru: macOS Sonoma

Impact: montarea cu rea intenție a unei partajări de rețea AFP poate duce la închiderea sistemului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2025-31240: Dave G.

CVE-2025-31237: Dave G.

AppleJPEG

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unui fișier multimedia creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: Problema a fost rezolvată prin îmbunătățirea igienizării intrării.

CVE-2025-31251: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

Audio

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: o problemă de eliberare dublă a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-31235: Dillon Franke în colaborare cu Google Project Zero

CoreAudio

Disponibilitate pentru: macOS Sonoma

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-31208: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

CoreGraphics

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unui fișier creat cu rea intenție ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-31196: wac în colaborare cu Trend Micro Zero Day Initiative

CoreGraphics

Disponibilitate pentru: macOS Sonoma

Impact: analizarea unui fișier poate cauza divulgarea informațiilor despre utilizator

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-31209: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

CoreMedia

Disponibilitate pentru: macOS Sonoma

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-31239: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

CoreMedia

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: Problema a fost rezolvată prin îmbunătățirea igienizării intrării.

CVE-2025-31233: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

DiskArbitration

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.

CVE-2025-30453: Csaba Fitzl (@theevilbit) de la Kandji, un cercetător anonim

DiskArbitration

Disponibilitate pentru: macOS Sonoma

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-24258: Csaba Fitzl (@theevilbit) de la Kandji, un cercetător anonim

iCloud Document Sharing

Disponibilitate pentru: macOS Sonoma

Impact: un atacator ar putea să activeze partajarea unui dosar iCloud fără autentificare

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-30448: Lyutoon și YenKoc, Dayton Pidhirney de la Atredis Partners

Installer

Disponibilitate pentru: macOS Sonoma

Impact: O aplicație care rulează în sandbox ar putea accesa date sensibile despre utilizatori

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-31232: un cercetător anonim

Kernel

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate scurge informații sensibile privind starea kernelului

Descriere: o problemă de divulgare a informațiilor a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Disponibilitate pentru: macOS Sonoma

Impact: un atacator poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-31219: Michael DePlante (@izobashi) și Lucas Leong (@_wmliang_) de la Trend Micro Zero Day Initiative

Kernel

Disponibilitate pentru: macOS Sonoma

Impact: un atacator de la distanță poate provoca o închidere neașteptată a aplicației

Descriere: o problemă de eliberare dublă a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-31241: Christian Kohlschütter

libexpat

Disponibilitate pentru: macOS Sonoma

Impact: mai multe probleme în libexpat, inclusiv închiderea neașteptată a aplicației sau executarea de cod arbitrar

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2024-8176

Libinfo

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate să ocolească tehnica ASLR

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-30440: Paweł Płatek (Trail of Bits)

mDNSResponder

Disponibilitate pentru: macOS Sonoma

Impact: un utilizator poate să acorde privilegii superioare

Descriere: o problemă de corectitudine a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Mobile Device Service

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: o problemă de validare a intrărilor a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2025-24274: un cercetător anonim

Notification Center

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2025-24142: LFY@secsys de la Universitatea Fudan

OpenSSH

Disponibilitate pentru: macOS Sonoma

Impact: mai multe probleme în OpenSSH

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2025-26465

CVE-2025-26466

Pro Res

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-31245: wac

Sandbox

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate să ocolească anumite preferințe de confidențialitate

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-31224: Csaba Fitzl (@theevilbit) de la Kandji

Security

Disponibilitate pentru: macOS Sonoma

Impact: un atacator la distanță poate accesa informații din memorie

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2025-31221: Dave G.

Security

Disponibilitate pentru: macOS Sonoma

Impact: O aplicație poate accesa numele de utilizator și site-urile web asociate din portcheiul iCloud al unui utilizator

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2025-31213: Kirin (@Pwnrin) și 7feilee

SharedFileList

Disponibilitate pentru: macOS Sonoma

Impact: un utilizator poate obține acces la componente protejate ale sistemului de fișiere

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2025-31247: un cercetător anonim

SoftwareUpdate

Disponibilitate pentru: macOS Sonoma

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: Problema a fost rezolvată prin îmbunătățirea igienizării intrării.

CVE-2025-30442: un cercetător anonim

StoreKit

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2025-31242: Eric Dorphy de la Twin Cities App Dev LLC

Weather

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație rău intenționată poate citi informații de localizare sensibile

Descriere: o problemă de confidențialitate a fost remediată prin eliminarea datelor sensibile.

CVE-2025-31220: Adam M.

WebContentFilter

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24155: un cercetător anonim

Alte mențiuni

Kernel

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Shortcuts

Dorim să le mulțumim lui Candace Jensen de la Kandji, Chi Yuan Chang de la ZUSO ART și taikosoup pentru asistența acordată.