Despre conținutul de securitate din macOS Sonoma 14.8

Acest document descrie conținutul de securitate din macOS Sonoma 14.8.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

macOS Sonoma 14.8

AMD

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2025-43312: ABC Research s.r.o.

AppKit

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: problema a fost rezolvată prin blocarea lansării serviciilor nesemnate pe computerele Mac cu procesor Intel.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Online Store Kit

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-31268: Csaba Fitzl (@theevilbit) și Nolan Astrein de la Kandji

AppSandbox

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

CoreAudio

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2025-43349: @zlluny în colaborare cu Trend Zero Day Initiative

CoreAudio

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unui fișier audio creat cu rea intenție ar putea provoca coruperea memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43277: Threat Analysis Group, Google

CoreMedia

Disponibilitate pentru: macOS Sonoma

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă legată de permisiuni a fost remediată prin aplicarea de restricții Sandbox suplimentare.

CVE-2025-43273: Seo Hyun-gyu (@wh1te4ever), Minghao Lin (@Y1nKoc), 风 (binaryfmyy), BochengXiang(@Crispr), YingQi Shi (@Mas0nShi) și Dora Orak

CoreServices

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație rău intenționată poate accesa informații confidențiale

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-43305: un cercetător anonim și Mickey Jin (@patch1t)

GPU Drivers

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43326: Wang Yu de la Cyberserval

IOHIDFamily

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43302: Keisuke Hosoda

IOKit

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-31255: Csaba Fitzl (@theevilbit) de la Kandji

Kernel

Disponibilitate pentru: macOS Sonoma

Impact: un socket de server UDP legat la o interfață locală poate deveni legat la toate interfețele

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

Disponibilitate pentru: macOS Sonoma

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-43231: Mickey Jin (@patch1t), Kirin@Pwnrin și LFY@secsys de la Fudan University, un cercetător anonim

libc

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea validării.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unui șir creat cu rea intenție poate cauza deteriorarea zonei-tampon de structuri de date

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MediaLibrary

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2025-43319: Hikerell (Loadshine Lab)

MigrationKit

Disponibilitate pentru: macOS Sonoma

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) de la Lupus Nova

MobileStorageMounter

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

CVE-2025-43355: Dawuge de la Shuffle Team

Notification Center

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze informații de contact legate de notificările din centrul de notificări

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2025-43301: LFY@secsys de la Fudan University

PackageKit

Disponibilitate pentru: macOS Sonoma

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2025-43298: un cercetător anonim

Perl

Disponibilitate pentru: macOS Sonoma

Impact: probleme multiple în Perl

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2025-40909

Printing

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-31269: Zhongcheng Li din cadrul IES Red Team de la ByteDance

Ruby

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unui fișier ar putea duce la o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2024-27280

Screenshots

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să realizeze o captură de ecran al unei aplicații care intră sau iese din modul de afișare pe tot ecranul

Descriere: o problemă de confidențialitate a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-31259: un cercetător anonim

Security Initialization

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate evada din sandbox

Descriere: o ocolire a carantinei fișierelor a fost rezolvată prin verificări suplimentare.

CVE-2025-43332: un cercetător anonim

SharedFileList

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.

CVE-2025-43293: un cercetător anonim

SharedFileList

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă legată de permisiuni a fost remediată prin eliminarea codului vulnerabil.

CVE-2025-43291: Ye Zhang de la Baidu Security

SharedFileList

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43286: pattern-f (@pattern_F_), @zlluny

Shortcuts

Disponibilitate pentru: macOS Sonoma

Impact: o scurtătură poate ocoli restricțiile sandboxului

Descriere: o problemă legată de permisiuni a fost remediată prin aplicarea de restricții Sandbox suplimentare.

CVE-2025-43358: 정답이 아닌 해답

Siri

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: a fost rezolvată o problemă de confidențialitate prin mutarea datelor sensibile.

CVE-2025-43367: Kirin (@Pwnrin), Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România

Spell Check

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) de la Lupus Nova

Storage

Disponibilitate pentru: macOS Sonoma

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43341: un cercetător anonim

StorageKit

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

Disponibilitate pentru: macOS Sonoma

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea gestionării stării.

CVE-2025-43304: Mickey Jin (@patch1t)

Touch Bar

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-43311: un cercetător anonim, Justin Elliot Fu

Touch Bar Controls

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-43308: un cercetător anonim

WindowServer

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să păcălească un utilizator să copieze date sensibile pe panoul de texte copiate

Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.

CVE-2025-43310: un cercetător anonim

Alte mențiuni

Airport

Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) de la Kandji pentru asistență.

libpthread

Dorim să-i mulțumim lui Nathaniel Oh (@calysteon) pentru asistența acordată.

libxml2

Dorim să le mulțumim lui Nathaniel Oh (@calysteon) și Sergei Glazunov de la Google Project Zero pentru asistența acordată.

SharedFileList

Dorim să-i mulțumim lui Ye Zhang de la Baidu Security pentru asistența acordată.

Wi-Fi

Dorim să le mulțumim lui Csaba Fitzl (@theevilbit) de la Kandji, Noah Gregory (wts.dev), Wojciech Regula de la SecuRing (wojciechregula.blog) și unui cercetător anonim pentru asistența acordată.