Сведения о проблемах системы безопасности, устраняемых обновлением macOS Ventura 13.7.7

В этом документе описаны проблемы системы безопасности, устраняемые в macOS Ventura 13.7.7.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

macOS Ventura 13.7.7

Дата выпуска: 29 июля 2025 г.

Admin Framework

Целевые продукты: macOS Ventura

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2025-43191: Ryan Dowd (@_rdowd)

afclip

Целевые продукты: macOS Ventura

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43186: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

AMD

Целевые продукты: macOS Ventura

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2025-43244: ABC Research s.r.o.

AppleMobileFileIntegrity

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-31243: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43249: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема с переходом на более раннюю версию устранена c помощью дополнительных ограничений на подпись кода.

CVE-2025-43245: Mickey Jin (@patch1t)

CFNetwork

Целевые продукты: macOS Ventura

Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема с использованием данных после освобождения памяти устранена путем удаления уязвимого кода.

CVE-2025-43222: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

CFNetwork

Целевые продукты: macOS Ventura

Воздействие. Непривилегированный пользователь может изменять настройки ограничения доступа к сети.

Описание. Проблема с отказом в обслуживании устранена путем улучшенной проверки ввода.

CVE-2025-43223: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

copyfile

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2025-43220: Mickey Jin (@patch1t)

Core Services

Целевые продукты: macOS Ventura

Воздействие. Вредоносное приложение может получать привилегии пользователя root.

Описание. Проблема с правами доступа устранена путем удаления уязвимого кода.

CVE-2025-43199: Gergely Kalman (@gergely_kalman), анонимный исследователь

CoreMedia

Целевые продукты: macOS Ventura

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43210: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreServices

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. При обработке переменных среды возникала ошибка. Проблема устранена путем улучшения процедуры проверки.

CVE-2025-43195: 风沐云烟 (@binary_fmyy) и Minghao Lin (@Y1nKoc)

Disk Images

Целевые продукты: macOS Ventura

Воздействие. Выполнение команды hdiutil может неожиданно привести к выполнению произвольного кода.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2025-43187: 风沐云烟 (@binary_fmyy) и Minghao Lin (@Y1nKoc)

file

Целевые продукты: macOS Ventura

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43254: 2ourc3 | Salim Largo

File Bookmark

Целевые продукты: macOS Ventura

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43261: анонимный исследователь

Find My

Целевые продукты: macOS Ventura

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-31279: Dawuge из Shuffle Team

Finder

Целевые продукты: macOS Ventura

Воздействие. Приложение может выполнять произвольный код за границами своей изолированной среды или с определенными привилегиями более высокого уровня.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-24119: анонимный исследователь

GPU Drivers

Целевые продукты: macOS Ventura

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43255: анонимный исследователь в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43284: анонимный исследователь в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Запись обновлена 28 августа 2025 г.

ICU

Целевые продукты: macOS Ventura

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43209: Gary Kwong в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Kernel

Целевые продукты: macOS Ventura

Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24224: Tony Iskow (@Tybbow)

LaunchServices

Целевые продукты: macOS Ventura

Воздействие. Приложение может выполнять произвольный код за границами своей изолированной среды или с определенными привилегиями более высокого уровня.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-24119: анонимный исследователь

libxpc

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2025-43196: анонимный исследователь

NetAuth

Целевые продукты: macOS Ventura

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2025-43275: Csaba Fitzl (@theevilbit) из Kandji

Notes

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить несанкционированный доступ к локальной сети.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2025-43270: Minqiang Gui

Notes

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43225: Kirin (@Pwnrin)

NSSpellChecker

Целевые продукты: macOS Ventura

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43266: Noah Gregory (wts.dev)

PackageKit

Целевые продукты: macOS Ventura

Воздействие. Вредоносное приложение с привилегиями root может изменять содержимое системных файлов.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43247: Mickey Jin (@patch1t)

PackageKit

Целевые продукты: macOS Ventura

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-43194: Mickey Jin (@patch1t)

PackageKit

Целевые продукты: macOS Ventura

Воздействие. Приложение может обходить определенные настройки конфиденциальности.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43232: Koh M. Nakagawa (@tsunek0h), Csaba Fitzl (@theevilbit) из Kandji и Gergely Kalman (@gergely_kalman)

Power Management

Целевые продукты: macOS Ventura

Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2025-43236: Dawuge из Shuffle Team

SceneKit

Целевые продукты: macOS Ventura

Воздействие. Приложение может считывать файлы за границами песочницы.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43241: Mickey Jin (@patch1t)

Security

Целевые продукты: macOS Ventura

Воздействие. Вредоносное приложение, действующее как HTTPS-прокси, может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшения ограничений доступа.

CVE-2025-43233: Wojciech Regula из SecuRing (wojciechregula.blog)

SecurityAgent

Целевые продукты: macOS Ventura

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43193: Dawuge из Shuffle Team

SharedFileList

Целевые продукты: macOS Ventura

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2025-43250: Yuebin Sun (@yuebinsun2020), Mickey Jin (@patch1t)

Shortcuts

Целевые продукты: macOS Ventura

Воздействие. Быстрая команда может обходить конфиденциальные настройки приложения «Быстрые команды».

Описание. Эта проблема была устранена посредством добавления дополнительного запроса для подтверждения согласия пользователя.

CVE-2025-43184: Csaba Fitzl (@theevilbit) из Kandji

Single Sign-On

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем ввода дополнительных проверок прав.

CVE-2025-43197: Shang-De Jiang и Kazma Ye из CyCraft Technology

sips

Целевые продукты: macOS Ventura

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43239: Nikolai Skliarenko в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Software Update

Целевые продукты: macOS Ventura

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43243: Mickey Jin (@patch1t), Keith Yeo (@kyeojy) из группы Team Orca в компании Sea Security

System Settings

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема анализа при обработке путей к каталогам устранена путем улучшенной проверки путей.

CVE-2025-43206: Zhongquan Li (@Guluisacat)

WindowServer

Целевые продукты: macOS Ventura

Воздействие. Злоумышленник с физическим доступом к заблокированному устройству может просматривать конфиденциальные данные пользователя.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2025-43259: Martti Hütt

Xsan

Целевые продукты: macOS Ventura

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2025-43238: анонимный исследователь

Дополнительные благодарности

Device Management

Выражаем благодарность за помощь пользователю Al Karak.

Game Center

Выражаем благодарность за помощь YingQi Shi (@Mas0nShi) из лаборатории WeBin компании DBAppSecurity.

Shortcuts

Выражаем благодарность за помощь пользователю Dennis Kniep.

WebDAV

Выражаем благодарность за помощь пользователю Christian Kohlschütter.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: