Obsah zabezpečenia v systéme macOS Sequoia 15.5

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Sequoia 15.5.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

macOS Sequoia 15.5

afpfs

Dostupné pre: macOS Sequoia

Dopad: Pripojením k serveru AFP so škodlivým kódom môže dôjsť k poškodeniu pamäte jadra.

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31246: Joseph Ravichandran (@0xjprx) z tímu MIT CSAIL

afpfs

Dostupné pre: macOS Sequoia

Dopad: Pripojenie zdieľaného sieťového prvku AFP so škodlivým kódom môže viesť k ukončeniu systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31240: Dave G.

CVE-2025-31237: Dave G.

Apple Intelligence Reports

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-31260: Thomas Völkl (@vollkorntomate), SEEMOO, TU Darmstadt

AppleJPEG

Dostupné pre: macOS Sequoia

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2025-31251: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

Audio

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31235: Dillon Franke v spolupráci s tímom Google Project Zero

BOM

Dostupné pre: macOS Sequoia

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-24222: wac v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Core Bluetooth

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-31212: Guilherme Rambo z tímu Best Buddy Apps (rambo.codes)

CoreAudio

Dostupné pre: macOS Sequoia

Dosah: Analýza súboru môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31208: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreGraphics

Dostupné pre: macOS Sequoia

Dosah: Analýza súboru môže viesť k sprístupneniu informácií používateľa

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-31209: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: macOS Sequoia

Dosah: Analýza súboru môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-31239: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: macOS Sequoia

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2025-31233: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

Finder

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Problém so zverejnením informácií bol vyriešený vylepšením kontroly súkromia.

CVE-2025-31236: Kirin@Pwnrin a LFY@secsys z Fudan University

Found in Apps

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-30443: Bohdan Stasiuk (@bohdan_stasiuk)

ImageIO

Dostupné pre: macOS Sequoia

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-31226: Saagar Jha

Installer

Dostupné pre: macOS Sequoia

Dopad: Apka v sandboxe môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-31232: Anonymný výskumník

Kernel

Dostupné pre: macOS Sequoia

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie činnosti systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Dostupné pre: macOS Sequoia

Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie

Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31241: Christian Kohlschütter

Kernel

Dostupné pre: macOS Sequoia

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31219: Michael DePlante (@izobashi) a Lucas Leong (@_wmliang_) z projektu Zero Day Initiative spoločnosti Trend Micro

libexpat

Dostupné pre: macOS Sequoia

Dopad: Viacero problémov v komponente libexpat vrátane neočakávaného ukončenia apky alebo spustenia ľubovoľného kódu

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-8176

Libinfo

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná obísť funkciu zabezpečenia ASLR

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-30440: Paweł Płatek (Trail of Bits)

mDNSResponder

Dostupné pre: macOS Sequoia

Dopad: Užívateľ môže byť schopný zvýšiť úroveň oprávnení

Popis: Problém so správnosťou bol vyriešený vylepšením kontrol.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Mobile Device Service

Dostupné pre: macOS Sequoia

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam používateľa root

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-24274: Anonymný výskumník

NetworkExtension

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná zisťovať názvy hostiteľov v rámci nových sieťových pripojení

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-31218: Adam M.

Notes

Dostupné pre: macOS Sequoia

Dopad: Aktívny roh môže neočakávane odhaliť vymazané poznámky používateľa

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2025-31256: Sourabhkumar Mishra

Notification Center

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Opis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2025-24142: LFY@secsys z Fudan University

OpenSSH

Dostupné pre: macOS Sequoia

Dopad: Viacero problémov v súčasti OpenSSH

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-26465

CVE-2025-26466

Pro Res

Dostupné pre: macOS Sequoia

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2025-31234: CertiK (@CertiK)

Pro Res

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31245: wac

quarantine

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Problém s obchádzaním karantény súborov bol vyriešený pridaním kontrol.

CVE-2025-31244: Csaba Fitzl (@theevilbit) z tímu Kandji

RemoteViewServices

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-31258: Anonymný výskumník

Sandbox

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-31249: Ryan Dowd (@_rdowd)

Sandbox

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná obísť určité nastavenia súkromia

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-31224: Csaba Fitzl (@theevilbit) z tímu Kandji

Security

Dostupné pre: macOS Sequoia

Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-31221: Dave G.

Security

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná pristupovať k pridruženým menám používateľov a webovým stránkam v iCloud Kľúčenke používateľa

Popis: Dochádzalo k problému s protokolovaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-31213: Kirin (@Pwnrin) a 7feilee

SharedFileList

Dostupné pre: macOS Sequoia

Dopad: Útočník môže získať prístup do chránených častí súborového systému

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-31247: Anonymný výskumník

SoftwareUpdate

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne

Popis: Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2025-31259: Anonymný výskumník

StoreKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Opis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2025-31242: Eric Dorphy z tímu Twin Cities App Dev LLC

TCC

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Problém so zverejnením informácií bol vyriešený vylepšením kontroly súkromia.

CVE-2025-31250: Noah Gregory (wts.dev)

Weather

Dostupné pre: macOS Sequoia

Dopad: Škodlivá apka môže byť schopná čítať citlivé informácie o polohe

Popis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.

CVE-2025-31220: Adam M.

WebKit

Dostupné pre: macOS Sequoia

Dopad: Problém so zámenou typu môže viesť k poškodeniu pamäte

Popis: Tento problém bol vyriešený vylepšením spracovania floatov.

CVE-2025-24213: Google V8 Security Team

WebKit

Dostupné pre: macOS Sequoia

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31223: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

CVE-2025-31238: wac v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: macOS Sequoia

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31215: Jiming Wang a Jikai Ren

WebKit

Dostupné pre: macOS Sequoia

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31204: Nan Wang (@eternalsakura13)

CVE-2025-24223: rheza (@ginggilBesel) a anonymný výskumník

WebKit

Dostupné pre: macOS Sequoia

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2025-31206: Anonymný výskumník

WebKit

Dostupné pre: macOS Sequoia

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Dostupné pre: macOS Sequoia

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31205: Ivan Fratric z tímu Google Project Zero

WebKit

Dostupné pre: macOS Sequoia

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Tento problém bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31257: Juergen Schmied z tímu Lynck GmbH

Ďalšie poďakovanie

AirDrop

Poďakovanie za pomoc si zaslúži Dalibor Milanovic.

Foundation

Poďakovanie za pomoc si zaslúžia Claudio Bozzato a Francesco Benvenuto zo spoločnosti Cisco Talos.

Kernel

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Mail

Poďakovanie za pomoc si zaslúži tím IES Red Team zo spoločnosti ByteDance.

MobileGestalt

Poďakovanie za pomoc si zaslúži iisBuri.

NetworkExtension

Poďakovanie za pomoc si zaslúžia Andrei-Alexandru Bleorțu a Dmytro Merkulov.

Notes

Poďakovanie za pomoc si zaslúži YingQi Shi (@Mas0nShi) z tímu DBAppSecurity's WeBin lab.

Safari

Poďakovanie za pomoc si zaslúžia @RenwaX23, Akash Labade, Narendra Bhati, manažér tímu kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India).

Sandbox

Poďakovanie za pomoc si zaslúžia Kirin@Pwnrin a LFY@secsys z Fudan University, Tal Lossos a Zhongquan Li (@Guluisacat).

Shortcuts

Poďakovanie za pomoc si zaslúžia Candace Jensen z tímu Kandji, Chi Yuan Chang z tímu ZUSO ART a taikosoup, Egor Filatov (Positive Technologies), Marcio Almeida z tímu Tanto Security, Monnier Pascaud a Ron Masas z tímu BREAKPOINT.SH.

WebKit

Poďakovanie za pomoc si zaslúžia Mike Dougherty a Daniel White z tímu Google Chrome a anonymný výskumník.

XProtect

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z Kandji.