Відомості про проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.7

Відомості про проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.7.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Sequoia 15.7

AMD

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43312: ABC Research s.r.o.

AppKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблема була вирішена шляхом блокування запуску служб без підпису на комп’ютерах Mac із процесором Intel.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Online Store Kit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-31268: Csaba Fitzl (@theevilbit) і Nolan Astrein із Kandji

AppSandbox

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

ATS

Цільові продукти: macOS Sequoia

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему вирішено через видалення вразливого коду.

CVE-2025-43330: Bilal Siddiqui

CoreAudio

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого відеофайлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-43349: користувач @zlluny, що співпрацює з компанією Trend в межах ініціативи Zero Day Initiative

CoreMedia

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.

CVE-2025-43292: Csaba Fitzl (@theevilbit) і Nolan Astrein із Kandji

CoreServices

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може отримувати доступ до приватної інформації

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-43305: анонімний дослідник, Mickey Jin (@patch1t)

GPU Drivers

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43326: Wang Yu з Cyberserval

IOHIDFamily

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43302: Keisuke Hosoda

IOKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.

CVE-2025-31255: Csaba Fitzl (@theevilbit) з Kandji

Kernel

Цільові продукти: macOS Sequoia

Вплив: сокет сервера UDP, прив’язаний до локального інтерфейсу, може стати прив’язаним до всіх інтерфейсів.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2025-43359: Viktor Oreshkin

libc

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему відмови в обслуговуванні вирішено завдяки вдосконаленню перевірки.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого рядка може призводити до пошкодження динамічної пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MediaLibrary

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему вирішено через видалення вразливого коду.

CVE-2025-43319: Hikerell (Loadshine Lab)

MigrationKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено через видалення вразливого коду.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) з Lupus Nova

MobileStorageMounter

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.

CVE-2025-43355: Dawuge із Shuffle Team

Notification Center

Цільові продукти: macOS Sequoia

Вплив: програма може отримати доступ до контактної інформації, пов’язаної з повідомленнями в Центрі повідомлень.

Опис: проблему з приватністю вирішено завдяки вдосконаленню маскування приватних даних для записів журналу.

CVE-2025-43301: LFY@secsys із Фуданського університету

PackageKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2025-43298: анонімний дослідник

Perl

Цільові продукти: macOS Sequoia

Вплив: кілька проблем у Perl.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-40909

Ruby

Цільові продукти: macOS Sequoia

Вплив: обробка файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2024-27280

Screenshots

Цільові продукти: macOS Sequoia

Вплив: програма може зробити знімок екрана, коли програма переходить у повноекранний режим або виходить з нього.

Опис: проблему з конфіденційністю вирішено завдяки вдосконаленню перевірок.

CVE-2025-31259: анонімний дослідник

Security Initialization

Цільові продукти: macOS Sequoia

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему обходу карантину файлів вирішено завдяки додатковим перевіркам.

CVE-2025-43332: анонімний дослідник

SharedFileList

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-43293: анонімний дослідник

SharedFileList

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з дозволами вирішено завдяки видаленню вразливого коду.

CVE-2025-43291: Є Чжан (Ye Zhang) із Baidu Security

SharedFileList

Цільові продукти: macOS Sequoia

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43286: pattern-f (@pattern_F_), @zlluny

Shortcuts

Цільові продукти: macOS Sequoia

Вплив: з допомогою ярлика можна обійти обмеження ізольованого середовища.

Опис: проблему з дозволами вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.

CVE-2025-43358: 정답이 아닌 해답

Spell Check

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) з Lupus Nova

StorageKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.

CVE-2025-43304: Mickey Jin (@patch1t)

Touch Bar

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему вирішено завдяки додатковим перевіркам прав.

CVE-2025-43311: анонімний дослідник, Justin Elliot Fu

Touch Bar Controls

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки додатковим перевіркам прав.

CVE-2025-43308: анонімний дослідник

WindowServer

Цільові продукти: macOS Sequoia

Вплив: програма може обманом змусити користувача скопіювати конфіденційні дані у буфер обміну

Опис: проблему з конфігурацією вирішено шляхом додаткових обмежень.

CVE-2025-43310: анонімний дослідник

Додаткова подяка

Airport

Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.

ImageIO

Ми хотіли б висловити подяку DongJun Kim (@smlijun) та JongSeong Kim (@nevul37) з Enki WhiteHat за їхню допомогу.

libpthread

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

libxml2

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

SharedFileList

Дякуємо за допомогу Ye Zhang із Baidu Security.

Wi-Fi

Дякуємо за допомогу користувачам Csaba Fitzl (@theevilbit) з Kandji, Noah Gregory (wts.dev), Wojciech Regula з SecuRing (wojciechregula.blog) та анонімному досліднику.