Despre conținutul de securitate din macOS Sequoia 15.7.2

Acest document descrie conținutul de securitate din macOS Sequoia 15.7.2.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

macOS Sequoia 15.7.2

Admin Framework

Disponibilitate pentru: macOS Sequoia

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-43322: Ryan Dowd (@_rdowd)

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2025-43337: Csaba Fitzl (@theevilbit) și Nolan Astrein de la Kandji

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Sequoia

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: O problemă de downgrade care afectează computerele Mac cu procesor Intel a fost rezolvată prin restricții suplimentare pentru semnarea codului.

CVE-2025-43390: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: O problemă de downgrade care afectează computerele Mac cu procesor Intel a fost rezolvată prin restricții suplimentare pentru semnarea codului.

CVE-2025-43468: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43469: Mickey Jin (@patch1t)

CVE-2025-43378: un cercetător anonim

ASP TCP

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-43478: Joseph Ravichandran (@0xjprx) de la MIT CSAIL, Dave G. (supernetworks.org)

Assets

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.

CVE-2025-43407: JZ

Assets

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2025-43446: Zhongcheng Li din cadrul IES Red Team de la ByteDance

Audio

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație rău intenționată ar putea citi memoria kernel

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43361: Michael Reeves (@IntegralPilot)

Audio

Disponibilitate pentru: macOS Sequoia

Impact: un atacator care are acces fizic la un dispozitiv deblocat asociat cu un computer Mac poate vizualiza informații sensibile ale utilizatorilor în jurnalele de sistem

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2025-43423: Duy Trần (@khanhduytran0)

bash

Disponibilitate pentru: macOS Sequoia

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2025-43472: Morris Richman (@morrisinlife)

bootp

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2025-43394: Csaba Fitzl (@theevilbit) de la Kandji

CloudKit

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2025-43448: Hikerell (Loadshine Lab)

configd

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2025-43395: Csaba Fitzl (@theevilbit) de la Kandji

CoreAnimation

Disponibilitate pentru: macOS Sequoia

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea validării.

CVE-2025-43401: 이동하 (Lee Dong Ha of BoB 14th), wac în colaborare cu Trend Micro Zero Day Initiative

CoreMedia

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea gestionării stării.

CVE-2025-43292: Csaba Fitzl (@theevilbit) și Nolan Astrein de la Kandji

CoreServices

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43479: un cercetător anonim

CoreServices

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2025-43382: Gergely Kalman (@gergely_kalman)

CoreText

Disponibilitate pentru: macOS Sequoia

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-43445: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

Disk Images

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2025-43481: Mickey Jin (@patch1t), Kenneth Chew, un cercetător anonim, Adwiteeya Agrawal

DiskArbitration

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43387: un cercetător anonim

Dock

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea gestionării stării.

CVE-2025-43420: Rodolphe BRUNETTI (@eisw0lf) de la Lupus Nova

FileProvider

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-43498: pattern-f (@pattern_F_)

Finder

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate ocoli verificările Gatekeeper

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2025-43348: Ferdous Saljooki (@malwarezoo) de la Jamf

GPU Drivers

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate citi memoria kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-43474: Murray Mike

Installer

Disponibilitate pentru: macOS Sequoia

Impact: O aplicație care rulează în sandbox ar putea accesa date sensibile despre utilizatori

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-43396: un cercetător anonim

Kernel

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație din sandbox poate observa conexiuni de rețea la nivelul întregului sistem

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2025-43413: Dave G. și Alex Radocea de la supernetworks.org

Mail

Disponibilitate pentru: macOS Sequoia

Impact: conținut extern poate fi încărcat chiar și atunci când configurarea „Încărcare imagini externe” este oprită

Descriere: problema a fost rezolvată prin adăugarea unei logici suplimentare.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme de la Khatima

Model I/O

Disponibilitate pentru: macOS Sequoia

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43383: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

Model I/O

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43377: BynarIO AI (bynar.io)

Notes

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de confidențialitate a fost remediată prin eliminarea codului vulnerabil.

CVE-2025-43389: Kirin (@Pwnrin)

NSSpellChecker

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43469: Mickey Jin (@patch1t)

PackageKit

Disponibilitate pentru: macOS Sequoia

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-43411: un cercetător anonim

Photos

Disponibilitate pentru: macOS Sequoia

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă legată de permisiuni a fost remediată prin aplicarea de restricții Sandbox suplimentare.

CVE-2025-43405: un cercetător anonim

Photos

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2025-43391: Asaf Cohen

Ruby

Disponibilitate pentru: macOS Sequoia

Impact: mai multe probleme în Ruby

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2024-43398

CVE-2024-49761

CVE-2025-6442

Security

Disponibilitate pentru: macOS Sequoia

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost rezolvată prin adăugarea unei logici suplimentare.

CVE-2025-43335: Csaba Fitzl (@theevilbit) de la Kandji

Share Sheet

Disponibilitate pentru: macOS Sequoia

Impact: un atacator cu acces fizic ar putea accesa contacte din ecranul de blocare

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2025-43408: Vivek Dhar, Subinspector adjunct (RM) în cadrul Serviciului de securitate a frontierei, Unitatea de frontieră BSF Cașmir

SharedFileList

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43476: Mickey Jin (@patch1t)

Shortcuts

Disponibilitate pentru: macOS Sequoia

Impact: o scurtătură poate fi capabilă să acceseze fișiere care sunt, în mod obișnuit, inaccesibile aplicației Shortcuts

Descriere: a fost rezolvată o problemă de permisiune prin îmbunătățirea validării.

CVE-2025-30465: un cercetător anonim

CVE-2025-43414: un cercetător anonim

Shortcuts

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-43499: un cercetător anonim

sips

Disponibilitate pentru: macOS Sequoia

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2025-43380: Nikolai Skliarenko de la Trend Micro Zero Day Initiative

Siri

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2025-43477: Kirin (@Pwnrin)

Siri

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2025-43399: Kirin (@Pwnrin), Cristian Dinca (icmd.tech)

SoftwareUpdate

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație cu privilegii de rădăcină poate accesa informații private

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43336: Rodolphe BRUNETTI (@eisw0lf) de la Lupus Nova

SoftwareUpdate

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: o problemă legată de permisiuni a fost remediată prin eliminarea codului vulnerabil.

CVE-2025-43397: Csaba Fitzl (@theevilbit) de la Kandji

Spotlight

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă legată de permisiuni a fost remediată prin aplicarea de restricții Sandbox suplimentare.

CVE-2025-43409: Kirin (@Pwnrin), Jonathan Bar Or (@yo_yo_yo_jbo) de la Microsoft și un cercetător anonim

sudo

Disponibilitate pentru: macOS Sequoia

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-43334: Gergely Kalman (@gergely_kalman)

System Settings

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate ocoli verificările Gatekeeper

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2025-43348: Ferdous Saljooki (@malwarezoo) de la Jamf

TCC

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate evada din sandbox

Descriere: o ocolire a carantinei fișierelor a fost rezolvată prin verificări suplimentare.

CVE-2025-43412: Mickey Jin (@patch1t)

Wi-Fi

Disponibilitate pentru: macOS Sequoia

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43373: Wang Yu de la Cyberserval

zsh

Disponibilitate pentru: macOS Sequoia

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2025-43472: Morris Richman (@morrisinlife)