Відомості про проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.6

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.6.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Sequoia 15.6

Admin Framework

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.

CVE-2025-43191: Ryan Dowd (@_rdowd)

afclip

Цільові продукти: macOS Sequoia

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43186: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

AMD

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.

CVE-2025-43244: ABC Research s.r.o.

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-31243: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може запускати довільні двійкові файли на довіреному пристрої.

Опис: цю проблему було вирішено шляхом поліпшеної перевірки вводу.

CVE-2025-43253: Noah Gregory (wts.dev)

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-43249: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2025-43248: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему зі зниженням рівня вирішено за допомогою додаткових обмежень підписування коду.

CVE-2025-43245: Mickey Jin (@patch1t)

Application Firewall

Цільові продукти: macOS Sequoia

Вплив: локальний зловмисник може підвищувати свій рівень привілеїв

Опис: цю проблему усунено завдяки вдосконаленню автентифікації.

CVE-2025-43281: MRHAX, Aditya Rana

Archive Utility

Цільові продукти: macOS Sequoia

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему усунено завдяки поліпшенню обробки символьних посилань.

CVE-2025-43257: Mickey Jin (@patch1t)

CFNetwork

Цільові продукти: macOS Sequoia

Вплив: зловмисник може спричиняти несподіване завершення роботи програми.

Опис: проблему Use-After-Free вирішено завдяки видаленню вразливого коду.

CVE-2025-43222: Andreas Jaegersberger та Ro Achterberg із Nosebeard Labs

CFNetwork

Цільові продукти: macOS Sequoia

Опис: непривілейований користувач може змінювати налаштування мережі з обмеженим доступом.

Опис: проблему відмови в обслуговуванні вирішено шляхом поліпшення перевірки вводу.

CVE-2025-43223: Andreas Jaegersberger та Ro Achterberg із Nosebeard Labs

copyfile

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-43220: Mickey Jin (@patch1t)

CoreAudio

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого аудіофайлу може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43277: група аналізу загроз Google

CoreMedia

Цільові продукти: macOS Sequoia

Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.

Опис: проблему з дозволами вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.

CVE-2025-43273: Seo Hyun-gyu (@wh1te4ever), Dora Orak, Minghao Lin (@Y1nKoc) і XiLong Zhang (@Resery4) із Xiaomi, а також noir (@ROIS) і fmyy (@风沐云烟)

CoreMedia

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2025-43210: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CoreMedia Playback

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему усунуто завдяки додатковим перевіркам дозволів.

CVE-2025-43230: Chi Yuan Chang із ZUSO ART і taikosoup

CoreServices

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: під час обробки змінних середовища виникала проблема. Цю проблему усунуто завдяки поліпшенню перевірки.

CVE-2025-43195: 风沐云烟 (@binary_fmyy) і Minghao Lin (@Y1nKoc)

Core Services

Цільові продукти: macOS Sequoia

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з дозволами вирішено завдяки видаленню вразливого коду.

CVE-2025-43199: Gergely Kalman (@gergely_kalman), анонімний дослідник

CoreServices

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2025-43313: 风沐云烟@binary_fmyy

Directory Utility

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему зі вставлянням команд усунено завдяки поліпшенню перевірки.

CVE-2025-43267: Mickey Jin (@patch1t)

Disk Images

Цільові продукти: macOS Sequoia

Вплив: виконання команди hdiutil може призводити до неочікуваного виконання довільного коду.

Опис: проблему вирішено через видалення вразливого коду.

CVE-2025-43187: 风沐云烟 (@binary_fmyy) і Minghao Lin (@Y1nKoc)

DiskArbitration

Цільові продукти: macOS Sequoia

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43188: анонімний дослідник

Dock

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему вирішено через видалення вразливого коду.

CVE-2025-43198: Mickey Jin (@patch1t)

file

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2025-43254: 2ourc3 | Salim Largo

File Bookmark

Цільові продукти: macOS Sequoia

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-43261: анонімний дослідник

Find My

Цільові продукти: macOS Sequoia

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-31279: Dawuge із Shuffle Team

GPU Drivers

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43255: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CVE-2025-43284: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

ICU

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2025-43209: Gary Kwong, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

ImageIO

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2025-43226

Kernel

Цільові продукти: macOS Sequoia

Вплив: приват-реле iCloud може не вмикатися, якщо в систему одночасно ввійшло кілька користувачів.

Опис: проблему з логікою вирішено завдяки вдосконаленню обробки файлів.

CVE-2025-43276: Willey Lin

Kernel

Цільові продукти: macOS Sequoia

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43268: Gergely Kalman (@gergely_kalman), Arsenii Kostromin (0x3c3e)

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему подвійного вивільнення вирішено завдяки поліпшенню керування пам’яттю.

CVE-2025-43282: Christian Kohlschütter

libnetcore

Цільові продукти: macOS Sequoia

Вплив: обробка файлу може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43202: Brian Carpenter

libxml2

Цільові продукти: macOS Sequoia

Вплив: обробка файлу може призводити до пошкодження пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.

CVE-2025-7425: Sergei Glazunov із підрозділу Google Project Zero

libxpc

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.

CVE-2025-43196: анонімний дослідник

libxslt

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-7424: Ivan Fratric із підрозділу Google Project Zero

Managed Configuration

Цільові продукти: macOS Sequoia

Вплив: реєстрація користувача за обліковим записом можлива, навіть якщо ввімкнено режим карантину.

Опис: проблему з конфігурацією вирішено шляхом додаткових обмежень.

CVE-2025-43192: Pyrophoria

MediaRemote

Цільові продукти: macOS Sequoia

Вплив: процес із пісочниці може запускати будь-яку інстальовану програму.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-31275: Dora Orak

Metal

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливої текстури може призводити до неочікуваного завершення роботи програми.

Опис: кілька проблем із пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2025-43234: Vlad Stolyarov із групи аналізу загроз Google

Model I/O

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого зображення може призводити до пошкодження пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43264: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CVE-2025-43219: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Model I/O

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему перевірки вводу усунено завдяки поліпшенню обробки пам’яті.

CVE-2025-31281: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

Model I/O

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2025-43224: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CVE-2025-43221: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

Model I/O

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого файлу може призводити до пошкодження динамічної пам’яті.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.

CVE-2025-31280: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

Model I/O

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого файлу USD може розкривати вміст пам’яті.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2025-43218: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

Model I/O

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-43215: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

NetAuth

Цільові продукти: macOS Sequoia

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2025-43275: Csaba Fitzl (@theevilbit) з Kandji

Notes

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-43225: Kirin (@Pwnrin)

Notes

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати несанкціонований доступ до локальної мережі.

Опис: проблему з доступом вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.

CVE-2025-43270: Minghao Lin та Jiaxun Zhu

NSSpellChecker

Цільові продукти: macOS Sequoia

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43266: Noah Gregory (wts.dev)

PackageKit

Цільові продукти: macOS Sequoia

Вплив: програма може перехоплювати дозволи, надані іншим привілейованим програмам.

Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.

CVE-2025-43260: Zhongquan Li (@Guluisacat)

PackageKit

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма з правами адміністратора може змінювати вміст системних файлів.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43247: Mickey Jin (@patch1t)

PackageKit

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-43194: Mickey Jin (@patch1t)

PackageKit

Цільові продукти: macOS Sequoia

Вплив: програма може обходити певні параметри приватності.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43232: Koh M. Nakagawa (@tsunek0h), Csaba Fitzl (@theevilbit) з Kandji та Gergely Kalman (@gergely_kalman)

Power Management

Цільові продукти: macOS Sequoia

Вплив: зловмисник може спричиняти несподіване завершення роботи програми.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.

CVE-2025-43236: Dawuge із Shuffle Team

Power Management

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43235: Dawuge із Shuffle Team

RemoteViewServices

Цільові продукти: macOS Sequoia

Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.

Опис: проблему з приватністю вирішено завдяки видаленню вразливого коду.

CVE-2025-43274: анонімний дослідник, Hikerell із Loadshine Lab, @zlluny

Safari

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-24188: Andreas Jaegersberger і Ro Achterberg із Nosebeard Labs

SceneKit

Цільові продукти: macOS Sequoia

Вплив: програма може читати файли за межами ізольованого середовища.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43241: Mickey Jin (@patch1t)

Security

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма, що діє як HTTPS-проксі, може отримати доступ до конфіденційних даних користувача.

Опис: цю проблему вирішено завдяки вдосконаленню обмежень доступу.

CVE-2025-43233: Wojciech Regula із SecuRing (wojciechregula.blog)

SecurityAgent

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43193: Dawuge із Shuffle Team

SharedFileList

Цільові продукти: macOS Sequoia

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.

CVE-2025-43250: Mickey Jin (@patch1t), Yuebin Sun (@yuebinsun2020)

Single Sign-On

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки додатковим перевіркам прав.

CVE-2025-43197: Shang-De Jiang і Kazma Ye із CyCraft Technology

sips

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2025-43239: Nikolai Skliarenko, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

Software Update

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43243: Keith Yeo (@kyeojy) з Team Orca в Sea Security, Mickey Jin (@patch1t)

Spotlight

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-43246: Mickey Jin (@patch1t)

SQLite

Цільові продукти: macOS Sequoia

Вплив: обробка файлу може призводити до пошкодження пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-6965

StorageKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-43256: анонімний дослідник

System Settings

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2025-43206: Zhongquan Li (@Guluisacat)

User Management

Цільові продукти: macOS Sequoia

Вплив: локальний зловмисник може отримати доступ до елементів В’язки.

Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.

CVE-2025-43251: Mickey Jin (@patch1t)

Voice Control

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему зі зниженням рівня вирішено за допомогою додаткових обмежень підписування коду.

CVE-2025-43185: Mickey Jin (@patch1t)

WebContentFilter

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може зчитувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43189: анонімний дослідник

WebContentFilter

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43237: анонімний дослідник

WebKit

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до виконання універсальних міжсайтових сценаріїв.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-43229: Martin Bajanik із Fingerprint, Ammar Askar

WebKit

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до розкриття конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-43227: Gilad Moav, Yehuda Afek, Anat Bremler-Barr та Amit Klein

WebKit

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei

WebKit

Цільові продукти: macOS Sequoia

Вплив: джерело завантаження може неправильно визначатися.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-43240: Syarif Muhammad Sajjad

WebKit

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43214: користувач shandikri, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative, відділ безпеки Google V8 Security Team

CVE-2025-43213: відділ безпеки Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) і Ziling Chen

WebKit

Цільові продукти: macOS Sequoia

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei

WebKit

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до розкриття внутрішніх станів програми

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2025-43265: HexRabbit (@h3xr4bb1t) із команди дослідників DEVCORE Research Team

WebKit

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.

CVE-2025-6558: Clément Lecigne і Vlad Stolyarov із групи аналізу загроз компанії Google

WindowServer

Цільові продукти: macOS Sequoia

Вплив: зловмисник, який має фізичний доступ до заблокованого пристрою, може переглянути конфіденційну інформацію користувача.

Опис: проблему вирішено завдяки вдосконаленню маскування конфіденційної інформації.

CVE-2025-43259: Martti Hütt

Xsan

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-43238: анонімний дослідник

zip

Цільові продукти: macOS Sequoia

Вплив: вебсайт може отримувати доступ до конфіденційних даних користувача під час розв’язання символьних посилань.

Опис: проблему усунено завдяки додаванню додаткового запиту згоди користувача.

CVE-2025-43252: Jonathan Bar Or (@yo_yo_yo_jbo) з Microsoft

Додаткова подяка

AppleMobileFileIntegrity

Дякуємо за допомогу користувачу Mickey Jin (@patch1t).

Bluetooth

Дякуємо за допомогу LIdong LI, Xiao Wang, Shao Dong Chen і Chao Tan із Source Guard.

Control Center

Дякуємо за допомогу анонімному досліднику.

CoreAudio

Дякуємо за допомогу користувачам @zlluny та Noah Weinberg.

CoreUtils

Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.

Device Management

Дякуємо за допомогу користувачу Al Karak.

Find My

Дякуємо за допомогу користувачу Christian Kohlschütter.

Game Center

Дякуємо за допомогу YingQi Shi (@Mas0nShi) з лабораторії WeBin компанії DBAppSecurity.

IOMobileFrameBuffer

Дякуємо за допомогу Karol Mazurek (@Karmaz95) з AFINE.

Kernel

Дякуємо за допомогу Karol Mazurek (@Karmaz95) з AFINE.

libxml2

Дякуємо за допомогу Sergei Glazunov із підрозділу Google Project Zero.

libxslt

Дякуємо за допомогу Івану Фратріку (Ivan Fratric) із Google Project Zero.

Safari

Дякуємо за допомогу Ameen Basha M K.

Shortcuts

Дякуємо за допомогу Dennis Kniep.

WebDAV

Дякуємо за допомогу користувачу Christian Kohlschütter.

WebKit

Дякуємо за допомогу відділу безпеки Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu, Xiaojie Wei та rheza (@ginggilBesel).