Сведения о проблемах системы безопасности, устраняемых обновлением macOS Sequoia 15.7.3

В этом документе описаны проблемы системы безопасности, устраняемые в macOS Sequoia 15.7.3.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

macOS Sequoia 15.7.3

AppleJPEG

Целевые продукты: macOS Sequoia

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

AppleMobileFileIntegrity

Целевые продукты: macOS Sequoia

Воздействие. Приложение может обходить защитные механизмы ограничения запуска и выполнять вредоносный код с расширенными привилегиями.

Описание. Проблема устранена путем добавления дополнительной логики.

CVE-2025-43320: Claudio Bozzato и Francesco Benvenuto из Cisco Talos

AppleMobileFileIntegrity

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема с переходом на более раннюю версию, затрагивающая компьютеры Mac на базе Intel, была устранена с помощью дополнительных ограничений на подпись кода.

CVE-2025-43522: анонимный исследователь

AppleMobileFileIntegrity

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с переходом на более раннюю версию, затрагивающая компьютеры Mac на базе Intel, была устранена с помощью дополнительных ограничений на подпись кода.

CVE-2025-43521: анонимный исследователь

AppleMobileFileIntegrity

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43519: анонимный исследователь

CVE-2025-43523: анонимный исследователь

AppSandbox

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема с логикой устранена путем улучшенной обработки файлов.

CVE-2025-46289: анонимный исследователь

Audio

Целевые продукты: macOS Sequoia

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2025-43482: Michael Reeves (@IntegralPilot), Jex Amro

Call History

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2025-43517: Wojciech Regula из SecuRing (wojciechregula.blog)

Call History

Целевые продукты: macOS Sequoia

Воздействие. Злоумышленник может подделывать идентификатор абонента FaceTime.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2025-46287: анонимный исследователь, Riley Walz

curl

Целевые продукты: macOS Sequoia

Воздействие. Обнаружен ряд проблем в curl.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Целевые продукты: macOS Sequoia

Воздействие. В полях паролей могут случайно отображаться пароли во время удаленного управления устройствами через FaceTime.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43542: Yiğit Ocak

Foundation

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получать несанкционированный доступ к файлам через API проверки правописания.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Целевые продукты: macOS Sequoia

Воздействие. Обработка вредоносных данных может приводить к неожиданному прекращению работы приложения.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки границ.

CVE-2025-43532: Andrew Calvano и Lucas Pinheiro из отдела безопасности продуктов Meta

Kernel

Целевые продукты: macOS Sequoia

Воздействие. Приложение может повышать уровень привилегий.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43512: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

Kernel

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема целочисленного переполнения устранена путем внедрения 64-разрядных меток времени.

CVE-2025-46285: Kaitao Xie и Xiaolong Bai из Alibaba Group

libarchive

Целевые продукты: macOS Sequoia

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-5918

MDM Configuration Tools

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема с правами доступа устранена путем удаления уязвимого кода.

CVE-2025-43513: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

Messages

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема утечки информации устранена путем улучшения контроля конфиденциальности.

CVE-2025-46276: Rosyna Keller из Totally Not Malicious Software

Networking

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшения защиты данных.

CVE-2025-43509: Haoling Zhou, Shixuan Zhao (@NSKernel), Chao Wang (@evi0s), Zhiqiang Lin из лаборатории SecLab в Университете Огайо

SoftwareUpdate

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43519: анонимный исследователь

StorageKit

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43527: анонимный исследователь

StorageKit

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема анализа при обработке путей к каталогам устранена путем улучшенной проверки путей.

CVE-2025-43463: Mickey Jin (@patch1t), Amy (@asentientbot)

sudo

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2025-43416: Gergely Kalman (@gergely_kalman)

Voice Control

Целевые продукты: macOS Sequoia

Воздействие. Пользователь с включенной функцией «Управление голосом» может делать расшифровки действий другого пользователя.

Описание. Проблема с управлением сеансом устранена путем улучшенной проверки.

CVE-2025-43516: Kay Belardinelli (Гарвардский университет)

VoiceOver

Целевые продукты: macOS Sequoia

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшения проверок.

CVE-2025-43530: Mickey Jin (@patch1t)

Дополнительные благодарности

Sandbox

Выражаем благодарность за помощь Arnaud Abbati.