Проблеми системи безпеки, які усунено в macOS Sequoia 15.3
У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.3.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
macOS Sequoia 15.3
Дата випуску: 27 січня 2025 р.
AirPlay
Цільові продукти: macOS Sequoia
Вплив: зловмисник у локальній мережі може спричинити пошкодження пам’яті процесу.
Опис: проблему, пов’язану з перевіркою вводу, вирішено.
CVE-2025-24126: Uri Katz (Oligo Security)
Запис оновлено 28 квітня 2025 р.
AirPlay
Цільові продукти: macOS Sequoia
Вплив: зловмисник у локальній мережі може спричинити несподіване завершення роботи програми.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.
CVE-2025-24129: Uri Katz (Oligo Security)
Запис оновлено 28 квітня 2025 р.
AirPlay
Цільові продукти: macOS Sequoia
Вплив: зловмисник у локальній мережі може спричинити відмову в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-24131: Uri Katz (Oligo Security)
Запис оновлено 28 квітня 2025 р.
AirPlay
Цільові продукти: macOS Sequoia
Вплив: зловмисник у локальній мережі може спричинити відмову в обслуговуванні.
Опис: проблему розіменування нульового покажчика вирішено через поліпшення перевірки вводу.
CVE-2025-24177: Uri Katz (Oligo Security)
CVE-2025-24179: Uri Katz (Oligo Security)
Запис оновлено 28 квітня 2025 р.
AirPlay
Цільові продукти: macOS Sequoia
Вплив: зловмисник у локальній мережі може пошкодити пам’ять процесу.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.
CVE-2025-24137: Uri Katz (Oligo Security)
Запис оновлено 28 квітня 2025 р.
AppKit
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до захищених даних користувача.
Опис: проблему усунуто завдяки додатковим перевіркам дозволів.
CVE-2025-24087: Mickey Jin (@patch1t)
AppleGraphicsControl
Цільові продукти: macOS Sequoia
Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24112: D4m0n
AppleMobileFileIntegrity
Цільові продукти: macOS Sequoia
Вплив: програма може отримати доступ до інформації про контакти користувача.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2025-24100: Kirin (@Pwnrin)
AppleMobileFileIntegrity
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему зі зниженням рівня вирішено за допомогою додаткових обмежень підписування коду.
CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)
AppleMobileFileIntegrity
Цільові продукти: macOS Sequoia
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-24114: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Цільові продукти: macOS Sequoia
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2025-24121: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Цільові продукти: macOS Sequoia
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему зі зниженням рівня, що впливає на комп’ютери Mac із процесорами Intel, вирішено за допомогою додаткових обмежень підписування коду.
CVE-2025-24122: Mickey Jin (@patch1t)
ARKit
Цільові продукти: macOS Sequoia
Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu та Xingwei Lin із Zhejiang University
Audio
Цільові продукти: macOS Sequoia
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему вирішено завдяки додатковим перевіркам прав.
CVE-2025-24106: Wang Yu з Cyberserval
Запис оновлено 28 серпня 2025 р.
CoreAudio
Цільові продукти: macOS Sequoia
Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24160: група аналізу загроз Google
CVE-2025-24161: група аналізу загроз Google
CVE-2025-24163: група аналізу загроз Google
CoreMedia
Цільові продукти: macOS Sequoia
Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24123: Desmond у співпраці з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) у співпраці з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
CoreMedia
Цільові продукти: macOS Sequoia
Вплив: шкідлива програма може підвищувати рівень привілеїв. Компанії Apple відомо про те, що ця проблема могла активно використовуватися у версіях iOS, випущених до iOS 17.2.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2025-24085
CoreMedia Playback
Цільові продукти: macOS Sequoia
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) і Lee Dong Ha (Who4mI)
Запис додано 16 травня 2025 р.
CoreRoutine
Цільові продукти: macOS Sequoia
Вплив: програма може визначити поточне розташування користувача.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24102: Kirin (@Pwnrin)
Display
Цільові продукти: macOS Sequoia
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню керування станами.
CVE-2025-24111: Wang Yu із CyberServal
Запис додано 12 травня 2025 р.
FaceTime
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з розкриттям інформації вирішено завдяки вдосконаленню контролю приватності.
CVE-2025-24134: Kirin (@Pwnrin)
iCloud
Цільові продукти: macOS Sequoia
Вплив: до файлів, завантажених з інтернету, може не застосовуватися прапорець карантину.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2025-24140: Matej Moravec (@MacejkoMoravec)
iCloud Photo Library
Цільові продукти: macOS Sequoia
Вплив: програма може обходити параметри приватності.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones
ImageIO
Цільові продукти: macOS Sequoia
Вплив: обробка зображення може призвести до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-24086: DongJun Kim (@smlijun) і JongSeong Kim (@nevul37) в Enki WhiteHat, D4m0n
Kernel
Цільові продукти: macOS Sequoia
Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.
Опис: проблему витоку інформації вирішено шляхом видалення вразливого коду.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Запис додано 12 травня 2025 р.
Kernel
Цільові продукти: macOS Sequoia
Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-24118: Joseph Ravichandran (@0xjprx) із MIT CSAIL
Kernel
Цільові продукти: macOS Sequoia
Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-24107: анонімний дослідник
Kernel
Цільові продукти: macOS Sequoia
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з перевіркою вирішено завдяки поліпшенню логіки.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Цільові продукти: macOS Sequoia
Вплив: програма може виконувати довільний код за межами свого ізольованого середовища або з підвищеним рівнем привілеїв.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2025-24119: анонімний дослідник
Запис додано 29 липня 2025 р.
LaunchServices
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.
CVE-2025-24094: анонімний дослідник
LaunchServices
Цільові продукти: macOS Sequoia
Вплив: програма може читати файли за межами ізольованого середовища.
Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.
CVE-2025-24115: анонімний дослідник
LaunchServices
Цільові продукти: macOS Sequoia
Вплив: програма може обходити параметри приватності.
Опис: проблему з доступом вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.
CVE-2025-24116: анонімний дослідник
LaunchServices
Цільові продукти: macOS Sequoia
Вплив: програма може знімати відбитки пальців користувача.
Опис: проблему вирішено завдяки вдосконаленню маскування конфіденційної інформації.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
libxslt
Цільові продукти: macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2024-55549: Ivan Fratric із Google Project Zero
CVE-2025-24855: Ivan Fratric із Google Project Zero
Запис додано 16 травня 2025 р.
Login Window
Цільові продукти: macOS Sequoia
Вплив: шкідлива програма може створювати символьні посилання на захищені області диска.
Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.
CVE-2025-24136: 风(binary_fmyy) і Minghao Lin@(Y1nKoc)
Запис оновлено 16 травня 2025 р.
Messages
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню маскування конфіденційної інформації.
CVE-2025-24101: Kirin (@Pwnrin)
NSDocument
Цільові продукти: macOS Sequoia
Вплив: шкідлива програма може отримувати доступ до довільних файлів.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2025-24096: анонімний дослідник
PackageKit
Цільові продукти: macOS Sequoia
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-31262: Mickey Jin (@patch1t)
Запис додано 16 травня 2025 р.
PackageKit
Цільові продукти: macOS Sequoia
Вплив: локальний зловмисник може підвищувати свій рівень привілеїв
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24099: Mickey Jin (@patch1t)
Запис додано 29 січня 2025 р.
PackageKit
Цільові продукти: macOS Sequoia
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)
Passwords
Цільові продукти: macOS Sequoia
Вплив: шкідлива програма може обійти автентифікацію розширення браузера
Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.
CVE-2025-24169: Josh Parnham (@joshparnham)
Perl
Цільові продукти: macOS Sequoia
Вплив: локальний користувач може змінювати захищені частини файлової системи.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24183: Arsenii Kostromin (0x3c3e)
Запис додано 16 травня 2025 р.
Photos Storage
Цільові продукти: macOS Sequoia
Вплив: видалення розмови в Повідомленнях може відкрити контактну інформацію користувача в журналі системи.
Опис: проблему вирішено завдяки вдосконаленню маскування конфіденційної інформації.
CVE-2025-24146: 神罚(@Pwnrin)
Safari
Цільові продукти: macOS Sequoia
Вплив: відвідування шкідливих вебсайтів може призводити до підміни адресного рядка.
Опис: проблему вирішено завдяки додаванню додаткової логіки.
CVE-2025-24128: @RenwaX23
Safari
Цільові продукти: macOS Sequoia
Вплив: відвідування шкідливих вебсайтів може призводити до підміни інтерфейсу користувача.
Опис: проблему вирішено завдяки вдосконаленню інтерфейсу користувача.
CVE-2025-24113: @RenwaX23
SceneKit
Цільові продукти: macOS Sequoia
Вплив: аналіз файлу може призводити до розкриття інформації про користувача.
Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-24149: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Security
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до захищених даних користувача.
Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.
CVE-2025-24103: Zhongquan Li (@Guluisacat)
SharedFileList
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до захищених даних користувача.
Опис: проблему з доступом вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.
CVE-2025-24108: анонімний дослідник
sips
Цільові продукти: macOS Sequoia
Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-24185: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Запис додано 17 березня 2025 р.
sips
Цільові продукти: macOS Sequoia
Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24139: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative», і Junsung Lee
Запис оновлено 16 травня 2025 р.
SMB
Цільові продукти: macOS Sequoia
Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-24151: анонімний дослідник
CVE-2025-24152: анонімний дослідник
SMB
Цільові продукти: macOS Sequoia
Вплив: програма з правами кореневого користувача може виконувати довільний код із привілеями ядра.
Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.
CVE-2025-24153: анонімний дослідник
Spotlight
Цільові продукти: macOS Sequoia
Вплив: шкідлива програма може ініціювати витік конфіденційної інформації про користувача.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) із Lupus Nova
StorageKit
Цільові продукти: macOS Sequoia
Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-24107: анонімний дослідник
StorageKit
Цільові продукти: macOS Sequoia
Вплив: локальний зловмисник може підвищувати свій рівень привілеїв
Опис: проблему з дозволами вирішено завдяки вдосконаленню перевірки.
CVE-2025-24176: Yann Gascuel з Alter Solutions
System Extensions
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати вищий рівень привілеїв.
Опис: проблему вирішено завдяки вдосконаленню перевірки повідомлення.
CVE-2025-24135: Arsenii Kostromin (0x3c3e)
Time Zone
Цільові продукти: macOS Sequoia
Вплив: програма може переглядати номер телефону контакту в системних журналах.
Опис: проблему з приватністю вирішено завдяки вдосконаленню маскування приватних даних для записів журналу.
CVE-2025-24145: Kirin (@Pwnrin)
TV App
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.
CVE-2025-24092: Adam M.
WebContentFilter
Цільові продукти: macOS Sequoia
Вплив: програма може розкривати дані з пам’яті ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-24155: анонімний дослідник
Запис додано 12 травня 2025 р.
WebContentFilter
Цільові продукти: macOS Sequoia
Вплив: зловмисник може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-24154: анонімний дослідник
WebKit
Цільові продукти: macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 284332
CVE-2025-24189: анонімний дослідник
Запис додано 16 травня 2025 р.
WebKit
Цільові продукти: macOS Sequoia
Вплив: шкідлива вебсторінка може ідентифікувати користувача.
Опис: проблему вирішено завдяки вдосконаленню обмежень доступу до файлової системи.
WebKit Bugzilla: 283117
CVE-2025-24143: анонімний дослідник
WebKit
Цільові продукти: macOS Sequoia
Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) із NUS CuriOSity і P1umer (@p1umer) з Imperial Global Singapore.
WebKit
Цільові продукти: macOS Sequoia
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: проблему вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy із HKUS3Lab і chluo з WHUSecLab
WebKit Web Inspector
Цільові продукти: macOS Sequoia
Вплив: копіювання URL-адреси з вебінспектора може призводити до вставляння виконуваної команди.
Опис: проблему з приватністю вирішено завдяки вдосконаленню обробки файлів.
WebKit Bugzilla: 283718
CVE-2025-24150: Johan Carlsson (joaxcar)
WindowServer
Цільові продукти: macOS Sequoia
Вплив: зловмисник може спричиняти несподіване завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню керування життєвим циклом об’єктів.
CVE-2025-24120: PixiePoint Security
Xsan
Цільові продукти: macOS Sequoia
Вплив: програма може підвищувати рівень привілеїв.
Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-24156: анонімний дослідник
Додаткова подяка
AirPlay
Дякуємо за допомогу користувачу Uri Katz (Oligo Security).
Запис додано 28 квітня 2025 р.
Audio
Дякуємо за допомогу групі аналізу загроз Google.
CoreAudio
Дякуємо за допомогу групі аналізу загроз Google.
DesktopServices
Дякуємо за допомогу анонімному досліднику.
Files
Дякуємо за допомогу користувачам Chi Yuan Chang із ZUSO ART і taikosoup.
iCloud
Дякуємо за допомогу Abhay Kailasia (@abhay_kailasia) з Технологічного коледжу Лакшмі Нараян (Бхопал, Індія), George Kovaios і Srijan Poudel.
Запис додано 16 травня 2025 р.
Passwords
Дякуємо за допомогу Talal Haj Bakry і Tommy Mysk із Mysk Inc. @mysk_co.
Static Linker
Дякуємо за допомогу Holger Fuhrmannek.
VoiceOver
Дякуємо за допомогу Bistrit Dahal і Dalibor Milanovic.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.