Obsah zabezpečenia v systéme macOS Sequoia 15.7

Obsah zabezpečenia v systéme macOS Sequoia 15.7.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

macOS Sequoia 15.7

AMD

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43312: ABC Research s.r.o.

AppKit

Dostupné pre: macOS Sequoia

Dosah: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Problém bol vyriešený zablokovaním spúšťania nepodpísaných služieb na počítačoch Mac s procesorom Intel.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Online Store Kit

Dostupné pre: macOS Sequoia

Dosah: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-31268: Csaba Fitzl (@theevilbit) a Nolan Astrein z tímu Kandji

AppSandbox

Dostupné pre: macOS Sequoia

Dosah: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

ATS

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-43330: Bilal Siddiqui

CoreAudio

Dostupné pre: macOS Sequoia

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Opis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43349: @zlluny v spolupráci s projektom Zero Day Initiative spoločnosti Trend

CoreMedia

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2025-43292: Csaba Fitzl (@theevilbit) a Nolan Astrein z tímu Kandji

CoreServices

Dostupné pre: macOS Sequoia

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k súkromným informáciám

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-43305: anonymný výskumník, Mickey Jin (@patch1t)

GPU Drivers

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43326: Wang Yu z tímu Cyberserval

IOHIDFamily

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43302: Keisuke Hosoda

IOKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-31255: Csaba Fitzl (@theevilbit) z tímu Kandji

Kernel

Dostupné pre: macOS Sequoia

Dosah: Soket UDP servera spojený s lokálnym rozhraním môže byť spojený so všetkými rozhraniami

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-43359: Viktor Oreshkin

libc

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s odopretím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

Dostupné pre: macOS Sequoia

Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MediaLibrary

Dostupné pre: macOS Sequoia

Dosah: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-43319: Hikerell (Loadshine Lab)

MigrationKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) z tímu Lupus Nova

MobileStorageMounter

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43355: Dawuge z tímu Shuffle Team

Notification Center

Dostupné pre: macOS Sequoia

Dosah: Aplikácia môže mať prístup ku kontaktným informáciám týkajúcim sa hlásení v Centre hlásení

Opis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2025-43301: LFY@secsys z Fudan University

PackageKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2025-43298: anonymný výskumník

Perl

Dostupné pre: macOS Sequoia

Dopad: Viacero problémov v súčasti Perl

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-40909

Ruby

Dostupné pre: macOS Sequoia

Dopad: Spracovanie súboru môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-27280

Screenshots

Dostupné pre: macOS Sequoia

Dosah: Aplikácia môže byť schopná zachytiť snímku obrazovky aplikácie, ktorá prechádza do režimu celej obrazovky alebo ho opúšťa

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-31259: Anonymný výskumník

Security Initialization

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Problém s obchádzaním karantény súborov bol vyriešený pridaním kontrol.

CVE-2025-43332: anonymný výskumník

SharedFileList

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2025-43293: anonymný výskumník

SharedFileList

Dostupné pre: macOS Sequoia

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Problém s povoleniami bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-43291: Ye Zhang z tímu Baidu Security

SharedFileList

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43286: pattern-f (@pattern_F_), @zlluny

Shortcuts

Dostupné pre: macOS Sequoia

Dosah: Skratka môže byť schopná obísť obmedzenia sandboxu

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený dodatočnými obmedzeniami sandboxu.

CVE-2025-43358: 정답이 아닌 해답

Spell Check

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) z tímu Lupus Nova

StorageKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2025-43304: Mickey Jin (@patch1t)

Touch Bar

Dostupné pre: macOS Sequoia

Dosah: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2025-43311: anonymný výskumník, Justin Elliot Fu

Touch Bar Controls

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2025-43308: anonymný výskumník

WindowServer

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná oklamať používateľa, aby skopíroval citlivé údaje do panelu na prilepenie.

Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43310: anonymný výskumník

Ďalšie poďakovanie

Airport

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Kandji.

ImageIO

Poďakovanie za pomoc si zaslúžia DongJun Kim (@smlijun) a JongSeong Kim (@nevul37) z tímu Enki WhiteHat.

libpthread

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

libxml2

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

SharedFileList

Poďakovanie za pomoc si zaslúži Ye Zhang z tímu Baidu Security.

Wi-Fi

Poďakovanie za pomoc si zaslúžia Csaba Fitzl (@theevilbit) z tímu Kandji, Noah Gregory (wts.dev), Wojciech Regula z tímu SecuRing (wojciechregula.blog) a anonymný výskumník.