Відомості про проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.7
Відомості про проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.7.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
macOS Sequoia 15.7
Дата випуску: 15 вересня 2025 р.
AMD
Цільові продукти: macOS Sequoia
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-43312: ABC Research s.r.o.
AppKit
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до захищених даних користувача.
Опис: проблема була вирішена шляхом блокування запуску служб без підпису на комп’ютерах Mac із процесором Intel.
CVE-2025-43321: Mickey Jin (@patch1t)
Apple Online Store Kit
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до захищених даних користувача.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-31268: Csaba Fitzl (@theevilbit) і Nolan Astrein із Kandji
AppSandbox
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до захищених даних користувача.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)
ATS
Цільові продукти: macOS Sequoia
Вплив: програма може виходити за межі ізольованого середовища.
Опис: проблему вирішено через видалення вразливого коду.
CVE-2025-43330: Bilal Siddiqui
CoreAudio
Цільові продукти: macOS Sequoia
Вплив: обробка шкідливого відеофайлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-43349: користувач @zlluny, що співпрацює з компанією Trend в межах ініціативи Zero Day Initiative
CoreMedia
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.
CVE-2025-43292: Csaba Fitzl (@theevilbit) і Nolan Astrein із Kandji
CoreServices
Цільові продукти: macOS Sequoia
Вплив: шкідлива програма може отримувати доступ до приватної інформації
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2025-43305: анонімний дослідник, Mickey Jin (@patch1t)
GPU Drivers
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-43326: Wang Yu з Cyberserval
IOHIDFamily
Цільові продукти: macOS Sequoia
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-43302: Keisuke Hosoda
IOKit
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.
CVE-2025-31255: Csaba Fitzl (@theevilbit) з Kandji
Kernel
Цільові продукти: macOS Sequoia
Вплив: сокет сервера UDP, прив’язаний до локального інтерфейсу, може стати прив’язаним до всіх інтерфейсів.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2025-43359: Viktor Oreshkin
libc
Цільові продукти: macOS Sequoia
Вплив: програма може спричинити відмову в обслуговуванні.
Опис: проблему відмови в обслуговуванні вирішено завдяки вдосконаленню перевірки.
CVE-2025-43299: Nathaniel Oh (@calysteon)
CVE-2025-43295: Nathaniel Oh (@calysteon)
Libinfo
Цільові продукти: macOS Sequoia
Вплив: обробка шкідливого рядка може призводити до пошкодження динамічної пам’яті.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-43353: Nathaniel Oh (@calysteon)
MediaLibrary
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до захищених даних користувача.
Опис: проблему вирішено через видалення вразливого коду.
CVE-2025-43319: Hikerell (Loadshine Lab)
MigrationKit
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено через видалення вразливого коду.
CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) з Lupus Nova
MobileStorageMounter
Цільові продукти: macOS Sequoia
Вплив: програма може спричинити відмову в обслуговуванні.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.
CVE-2025-43355: Dawuge із Shuffle Team
Notification Center
Цільові продукти: macOS Sequoia
Вплив: програма може отримати доступ до контактної інформації, пов’язаної з повідомленнями в Центрі повідомлень.
Опис: проблему з приватністю вирішено завдяки вдосконаленню маскування приватних даних для записів журналу.
CVE-2025-43301: LFY@secsys із Фуданського університету
PackageKit
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати права кореневого користувача.
Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.
CVE-2025-43298: анонімний дослідник
Perl
Цільові продукти: macOS Sequoia
Вплив: кілька проблем у Perl.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2025-40909
Ruby
Цільові продукти: macOS Sequoia
Вплив: обробка файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2024-27280
Screenshots
Цільові продукти: macOS Sequoia
Вплив: програма може зробити знімок екрана, коли програма переходить у повноекранний режим або виходить з нього.
Опис: проблему з конфіденційністю вирішено завдяки вдосконаленню перевірок.
CVE-2025-31259: анонімний дослідник
Security Initialization
Цільові продукти: macOS Sequoia
Вплив: програма може виходити за межі ізольованого середовища.
Опис: проблему обходу карантину файлів вирішено завдяки додатковим перевіркам.
CVE-2025-43332: анонімний дослідник
SharedFileList
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-43293: анонімний дослідник
SharedFileList
Цільові продукти: macOS Sequoia
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з дозволами вирішено завдяки видаленню вразливого коду.
CVE-2025-43291: Є Чжан (Ye Zhang) із Baidu Security
SharedFileList
Цільові продукти: macOS Sequoia
Вплив: програма може виходити за межі ізольованого середовища.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-43286: pattern-f (@pattern_F_), @zlluny
Shortcuts
Цільові продукти: macOS Sequoia
Вплив: з допомогою ярлика можна обійти обмеження ізольованого середовища.
Опис: проблему з дозволами вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.
CVE-2025-43358: 정답이 아닌 해답
Spell Check
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.
CVE-2025-43190: Noah Gregory (wts.dev)
Spotlight
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) з Lupus Nova
StorageKit
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.
CVE-2025-43314: Mickey Jin (@patch1t)
StorageKit
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати права кореневого користувача.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.
CVE-2025-43304: Mickey Jin (@patch1t)
Touch Bar
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до захищених даних користувача.
Опис: проблему вирішено завдяки додатковим перевіркам прав.
CVE-2025-43311: анонімний дослідник, Justin Elliot Fu
Touch Bar Controls
Цільові продукти: macOS Sequoia
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки додатковим перевіркам прав.
CVE-2025-43308: анонімний дослідник
WindowServer
Цільові продукти: macOS Sequoia
Вплив: програма може обманом змусити користувача скопіювати конфіденційні дані у буфер обміну
Опис: проблему з конфігурацією вирішено шляхом додаткових обмежень.
CVE-2025-43310: анонімний дослідник
Додаткова подяка
Airport
Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.
ImageIO
Ми хотіли б висловити подяку DongJun Kim (@smlijun) та JongSeong Kim (@nevul37) з Enki WhiteHat за їхню допомогу.
libpthread
Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).
libxml2
Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).
SharedFileList
Дякуємо за допомогу Ye Zhang із Baidu Security.
Wi-Fi
Дякуємо за допомогу користувачам Csaba Fitzl (@theevilbit) з Kandji, Noah Gregory (wts.dev), Wojciech Regula з SecuRing (wojciechregula.blog) та анонімному досліднику.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.