Сведения о проблемах системы безопасности, устраняемых обновлением macOS Sequoia 15.7

Сведения о проблемах системы безопасности, устраняемых обновлением macOS Sequoia 15.7.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

macOS Sequoia 15.7

AMD

Целевые продукты: macOS Sequoia

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2025-43312: ABC Research s.r.o.

AppKit

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема решена путем блокировки запуска неподписанных служб на компьютерах Mac с процессором Intel.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Online Store Kit

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-31268: Csaba Fitzl (@theevilbit) и Nolan Astrein из Kandji

AppSandbox

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

ATS

Целевые продукты: macOS Sequoia

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2025-43330: Bilal Siddiqui

CoreAudio

Целевые продукты: macOS Sequoia

Воздействие. Обработка вредоносного видеофайла может приводить к неожиданному завершению работы приложения.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43349: @zlluny в сотрудничестве с компанией Trend в рамках программы Zero Day Initiative

CoreMedia

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2025-43292: Csaba Fitzl (@theevilbit) и Nolan Astrein из Kandji

CoreServices

Целевые продукты: macOS Sequoia

Воздействие. Вредоносное приложение может получать доступ к личной информации.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43305: анонимный исследователь, Mickey Jin (@patch1t)

GPU Drivers

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43326: Wang Yu из CyberServal

IOHIDFamily

Целевые продукты: macOS Sequoia

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43302: Keisuke Hosoda

IOKit

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2025-31255: Csaba Fitzl (@theevilbit) из Kandji

Kernel

Целевые продукты: macOS Sequoia

Воздействие. Серверный сокет UDP, привязанный к локальному интерфейсу, может стать привязанным ко всем интерфейсам.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2025-43359: Viktor Oreshkin

libc

Целевые продукты: macOS Sequoia

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема с отказом в обслуживании устранена путем улучшения процедуры проверки.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

Целевые продукты: macOS Sequoia

Воздействие. Обработка вредоносной строки может приводить к повреждению динамической памяти.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MediaLibrary

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2025-43319: Hikerell (из Loadshine Lab)

MigrationKit

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) из Lupus Nova

MobileStorageMounter

Целевые продукты: macOS Sequoia

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2025-43355: Dawuge из Shuffle Team

Notification Center

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к контактной информации, связанной с уведомлениями в Центре уведомлений.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2025-43301: LFY@secsys из Университета Фудань

PackageKit

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема анализа при обработке путей к каталогам устранена путем улучшенной проверки путей.

CVE-2025-43298: анонимный исследователь

Perl

Целевые продукты: macOS Sequoia

Воздействие. Обнаружен ряд проблем в Perl.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-40909

Ruby

Целевые продукты: macOS Sequoia

Воздействие. Обработка файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-27280

Screenshots

Целевые продукты: macOS Sequoia

Воздействие. Приложение может сделать скриншот при входе приложения в полноэкранный режим или выходе из него.

Описание. Проблема с конфиденциальностью устранена путем улучшения проверок.

CVE-2025-31259: анонимный исследователь

Security Initialization

Целевые продукты: macOS Sequoia

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема обхода карантина файлов решена путем дополнительных проверок.

CVE-2025-43332: анонимный исследователь

SharedFileList

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2025-43293: анонимный исследователь

SharedFileList

Целевые продукты: macOS Sequoia

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с правами доступа устранена путем удаления уязвимого кода.

CVE-2025-43291: Ye Zhang из Baidu Security

SharedFileList

Целевые продукты: macOS Sequoia

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43286: pattern-f (@pattern_F_), @zlluny

Shortcuts

Целевые продукты: macOS Sequoia

Воздействие. Быстрая команда может обойти ограничения изолированной среды.

Описание. Проблема с правами доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2025-43358: 정답이 아닌 해답

Spell Check

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема анализа при обработке путей к каталогам устранена путем улучшенной проверки путей.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) из Lupus Nova

StorageKit

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема анализа при обработке путей к каталогам устранена путем улучшенной проверки путей.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2025-43304: Mickey Jin (@patch1t)

Touch Bar

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема устранена путем ввода дополнительных проверок прав.

CVE-2025-43311: анонимный исследователь, Justin Elliot Fu

Touch Bar Controls

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем ввода дополнительных проверок прав.

CVE-2025-43308: анонимный исследователь

WindowServer

Целевые продукты: macOS Sequoia

Воздействие. Приложение может обманом заставить пользователя скопировать конфиденциальные данные в буфер обмена.

Описание. Проблема конфигурации решена посредством добавления дополнительных ограничений.

CVE-2025-43310: анонимный исследователь

Дополнительные благодарности

Airport

Выражаем благодарность за помощь Csaba Fitzl (@theevilbit) из Kandji.

ImageIO

Выражаем благодарность за помощь пользователям DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat.

libpthread

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

libxml2

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

SharedFileList

Выражаем благодарность за помощь пользователю Ye Zhang из Baidu Security.

Wi-Fi

Выражаем благодарность за помощь пользователям Csaba Fitzl (@theevilbit) из Kandji, Noah Gregory (wts.dev), Wojciech Regula из SecuRing (wojciechregula.blog) и анонимному исследователю.