Проблеми системи безпеки, які усунено в macOS Sequoia 15.3

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.3.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Sequoia 15.3

Дата випуску: 27 січня 2025 р.

AirPlay

Цільові продукти: macOS Sequoia

Вплив: зловмисник у локальній мережі може спричинити пошкодження пам’яті процесу.

Опис: проблему, пов’язану з перевіркою вводу, вирішено.

CVE-2025-24126: Uri Katz (Oligo Security)

Запис оновлено 28 квітня 2025 р.

AirPlay

Цільові продукти: macOS Sequoia

Вплив: зловмисник у локальній мережі може спричинити несподіване завершення роботи програми.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.

CVE-2025-24129: Uri Katz (Oligo Security)

Запис оновлено 28 квітня 2025 р.

AirPlay

Цільові продукти: macOS Sequoia

Вплив: зловмисник у локальній мережі може спричинити відмову в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24131: Uri Katz (Oligo Security)

Запис оновлено 28 квітня 2025 р.

AirPlay

Цільові продукти: macOS Sequoia

Вплив: зловмисник у локальній мережі може спричинити відмову в обслуговуванні.

Опис: проблему розіменування нульового покажчика вирішено через поліпшення перевірки вводу.

CVE-2025-24177: Uri Katz (Oligo Security)

CVE-2025-24179: Uri Katz (Oligo Security)

Запис оновлено 28 квітня 2025 р.

AirPlay

Цільові продукти: macOS Sequoia

Вплив: зловмисник у локальній мережі може пошкодити пам’ять процесу.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.

CVE-2025-24137: Uri Katz (Oligo Security)

Запис оновлено 28 квітня 2025 р.

AppKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему усунуто завдяки додатковим перевіркам дозволів.

CVE-2025-24087: Mickey Jin (@patch1t)

AppleGraphicsControl

Цільові продукти: macOS Sequoia

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24112: D4m0n

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: програма може отримати доступ до інформації про контакти користувача.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2025-24100: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему зі зниженням рівня вирішено за допомогою додаткових обмежень підписування коду.

CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-24114: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-24121: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему зі зниженням рівня, що впливає на комп’ютери Mac із процесорами Intel, вирішено за допомогою додаткових обмежень підписування коду.

CVE-2025-24122: Mickey Jin (@patch1t)

ARKit

Цільові продукти: macOS Sequoia

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu та Xingwei Lin із Zhejiang University

Audio

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему вирішено завдяки додатковим перевіркам прав.

CVE-2025-24106: Wang Yu з Cyberserval

Запис оновлено 28 серпня 2025 р.

CoreAudio

Цільові продукти: macOS Sequoia

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24160: група аналізу загроз Google

CVE-2025-24161: група аналізу загроз Google

CVE-2025-24163: група аналізу загроз Google

CoreMedia

Цільові продукти: macOS Sequoia

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24123: Desmond у співпраці з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) у співпраці з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

CoreMedia

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може підвищувати рівень привілеїв. Компанії Apple відомо про те, що ця проблема могла активно використовуватися у версіях iOS, випущених до iOS 17.2.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2025-24085

CoreMedia Playback

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24184: Song Hyun Bae (@bshyuunn) і Lee Dong Ha (Who4mI)

Запис додано 16 травня 2025 р.

CoreRoutine

Цільові продукти: macOS Sequoia

Вплив: програма може визначити поточне розташування користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24102: Kirin (@Pwnrin)

Display

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню керування станами.

CVE-2025-24111: Wang Yu із CyberServal

Запис додано 12 травня 2025 р.

FaceTime

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з розкриттям інформації вирішено завдяки вдосконаленню контролю приватності.

CVE-2025-24134: Kirin (@Pwnrin)

iCloud

Цільові продукти: macOS Sequoia

Вплив: до файлів, завантажених з інтернету, може не застосовуватися прапорець карантину.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-24140: Matej Moravec (@MacejkoMoravec)

iCloud Photo Library

Цільові продукти: macOS Sequoia

Вплив: програма може обходити параметри приватності.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones

ImageIO

Цільові продукти: macOS Sequoia

Вплив: обробка зображення може призвести до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24086: DongJun Kim (@smlijun) і JongSeong Kim (@nevul37) в Enki WhiteHat, D4m0n

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.

Опис: проблему витоку інформації вирішено шляхом видалення вразливого коду.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Запис додано 12 травня 2025 р.

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24118: Joseph Ravichandran (@0xjprx) із MIT CSAIL

Kernel

Цільові продукти: macOS Sequoia

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-24107: анонімний дослідник

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему з перевіркою вирішено завдяки поліпшенню логіки.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Цільові продукти: macOS Sequoia

Вплив: програма може виконувати довільний код за межами свого ізольованого середовища або з підвищеним рівнем привілеїв.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-24119: анонімний дослідник

Запис додано 29 липня 2025 р.

LaunchServices

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2025-24094: анонімний дослідник

LaunchServices

Цільові продукти: macOS Sequoia

Вплив: програма може читати файли за межами ізольованого середовища.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.

CVE-2025-24115: анонімний дослідник

LaunchServices

Цільові продукти: macOS Sequoia

Вплив: програма може обходити параметри приватності.

Опис: проблему з доступом вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.

CVE-2025-24116: анонімний дослідник

LaunchServices

Цільові продукти: macOS Sequoia

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему вирішено завдяки вдосконаленню маскування конфіденційної інформації.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

libxslt

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2024-55549: Ivan Fratric із Google Project Zero

CVE-2025-24855: Ivan Fratric із Google Project Zero

Запис додано 16 травня 2025 р.

Login Window

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може створювати символьні посилання на захищені області диска.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-24136: 风(binary_fmyy) і Minghao Lin@(Y1nKoc)

Запис оновлено 16 травня 2025 р.

Messages

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню маскування конфіденційної інформації.

CVE-2025-24101: Kirin (@Pwnrin)

NSDocument

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може отримувати доступ до довільних файлів.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-24096: анонімний дослідник

PackageKit

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-31262: Mickey Jin (@patch1t)

Запис додано 16 травня 2025 р.

PackageKit

Цільові продукти: macOS Sequoia

Вплив: локальний зловмисник може підвищувати свій рівень привілеїв

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24099: Mickey Jin (@patch1t)

Запис додано 29 січня 2025 р.

PackageKit

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)

Passwords

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може обійти автентифікацію розширення браузера

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-24169: Josh Parnham (@joshparnham)

Perl

Цільові продукти: macOS Sequoia

Вплив: локальний користувач може змінювати захищені частини файлової системи.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24183: Arsenii Kostromin (0x3c3e)

Запис додано 16 травня 2025 р.

Photos Storage

Цільові продукти: macOS Sequoia

Вплив: видалення розмови в Повідомленнях може відкрити контактну інформацію користувача в журналі системи.

Опис: проблему вирішено завдяки вдосконаленню маскування конфіденційної інформації.

CVE-2025-24146: 神罚(@Pwnrin)

Safari

Цільові продукти: macOS Sequoia

Вплив: відвідування шкідливих вебсайтів може призводити до підміни адресного рядка.

Опис: проблему вирішено завдяки додаванню додаткової логіки.

CVE-2025-24128: @RenwaX23

Safari

Цільові продукти: macOS Sequoia

Вплив: відвідування шкідливих вебсайтів може призводити до підміни інтерфейсу користувача.

Опис: проблему вирішено завдяки вдосконаленню інтерфейсу користувача.

CVE-2025-24113: @RenwaX23

SceneKit

Цільові продукти: macOS Sequoia

Вплив: аналіз файлу може призводити до розкриття інформації про користувача.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-24149: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Security

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-24103: Zhongquan Li (@Guluisacat)

SharedFileList

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.

CVE-2025-24108: анонімний дослідник

sips

Цільові продукти: macOS Sequoia

Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-24185: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Запис додано 17 березня 2025 р.

sips

Цільові продукти: macOS Sequoia

Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24139: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative», і Junsung Lee

Запис оновлено 16 травня 2025 р.

SMB

Цільові продукти: macOS Sequoia

Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24151: анонімний дослідник

CVE-2025-24152: анонімний дослідник

SMB

Цільові продукти: macOS Sequoia

Вплив: програма з правами кореневого користувача може виконувати довільний код із привілеями ядра.

Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2025-24153: анонімний дослідник

Spotlight

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може ініціювати витік конфіденційної інформації про користувача.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) із Lupus Nova

StorageKit

Цільові продукти: macOS Sequoia

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-24107: анонімний дослідник

StorageKit

Цільові продукти: macOS Sequoia

Вплив: локальний зловмисник може підвищувати свій рівень привілеїв

Опис: проблему з дозволами вирішено завдяки вдосконаленню перевірки.

CVE-2025-24176: Yann Gascuel з Alter Solutions

System Extensions

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати вищий рівень привілеїв.

Опис: проблему вирішено завдяки вдосконаленню перевірки повідомлення.

CVE-2025-24135: Arsenii Kostromin (0x3c3e)

Time Zone

Цільові продукти: macOS Sequoia

Вплив: програма може переглядати номер телефону контакту в системних журналах.

Опис: проблему з приватністю вирішено завдяки вдосконаленню маскування приватних даних для записів журналу.

CVE-2025-24145: Kirin (@Pwnrin)

TV App

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.

CVE-2025-24092: Adam M.

WebContentFilter

Цільові продукти: macOS Sequoia

Вплив: програма може розкривати дані з пам’яті ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24155: анонімний дослідник

Запис додано 12 травня 2025 р.

WebContentFilter

Цільові продукти: macOS Sequoia

Вплив: зловмисник може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-24154: анонімний дослідник

WebKit

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

WebKit Bugzilla: 284332

CVE-2025-24189: анонімний дослідник

Запис додано 16 травня 2025 р.

WebKit

Цільові продукти: macOS Sequoia

Вплив: шкідлива вебсторінка може ідентифікувати користувача.

Опис: проблему вирішено завдяки вдосконаленню обмежень доступу до файлової системи.

WebKit Bugzilla: 283117

CVE-2025-24143: анонімний дослідник

WebKit

Цільові продукти: macOS Sequoia

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 283889

CVE-2025-24158: Q1IQ (@q1iqF) із NUS CuriOSity і P1umer (@p1umer) з Imperial Global Singapore.

WebKit

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему вирішено завдяки вдосконаленню керування станами.

WebKit Bugzilla: 284159

CVE-2025-24162: linjy із HKUS3Lab і chluo з WHUSecLab

WebKit Web Inspector

Цільові продукти: macOS Sequoia

Вплив: копіювання URL-адреси з вебінспектора може призводити до вставляння виконуваної команди.

Опис: проблему з приватністю вирішено завдяки вдосконаленню обробки файлів.

WebKit Bugzilla: 283718

CVE-2025-24150: Johan Carlsson (joaxcar)

WindowServer

Цільові продукти: macOS Sequoia

Вплив: зловмисник може спричиняти несподіване завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню керування життєвим циклом об’єктів.

CVE-2025-24120: PixiePoint Security

Xsan

Цільові продукти: macOS Sequoia

Вплив: програма може підвищувати рівень привілеїв.

Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-24156: анонімний дослідник

Додаткова подяка

AirPlay

Дякуємо за допомогу користувачу Uri Katz (Oligo Security).

Запис додано 28 квітня 2025 р.

Audio

Дякуємо за допомогу групі аналізу загроз Google.

CoreAudio

Дякуємо за допомогу групі аналізу загроз Google.

DesktopServices

Дякуємо за допомогу анонімному досліднику.

Files

Дякуємо за допомогу користувачам Chi Yuan Chang із ZUSO ART і taikosoup.

iCloud

Дякуємо за допомогу Abhay Kailasia (@abhay_kailasia) з Технологічного коледжу Лакшмі Нараян (Бхопал, Індія), George Kovaios і Srijan Poudel.

Запис додано 16 травня 2025 р.

Passwords

Дякуємо за допомогу Talal Haj Bakry і Tommy Mysk із Mysk Inc. @mysk_co.

Static Linker

Дякуємо за допомогу Holger Fuhrmannek.

VoiceOver

Дякуємо за допомогу Bistrit Dahal і Dalibor Milanovic.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: