Відомості про проблеми системи безпеки, які усунено в оновленні macOS Sonoma 14.8

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Sonoma 14.8.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Sonoma 14,8

AMD

Цільовий продукт: macOS Sonoma

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43312: ABC Research s.r.o.

AppKit

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему вирішено шляхом блокування запуску непідписаних служб на комп’ютерах Mac на базі Intel.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Online Store Kit

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-31268: Csaba Fitzl (@theevilbit) і Nolan Astrein із Kandji

AppSandbox

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

CoreAudio

Цільовий продукт: macOS Sonoma

Вплив: обробка шкідливого відеофайлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-43349: користувач @zlluny, що співпрацює з компанією Trend у межах ініціативи Zero Day Initiative

CoreAudio

Цільовий продукт: macOS Sonoma

Вплив: обробка шкідливого аудіофайлу може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43277: група аналізу загроз Google

CoreMedia

Цільовий продукт: macOS Sonoma

Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.

Опис: проблему з дозволами вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.

CVE-2025-43273: Seo Hyun-gyu (@wh1te4ever), Minghao Lin (@Y1nKoc), 风 (binaryfmyy), BochengXiang(@Crispr), and YingQi Shi (@Mas0nShi), Dora Orak

CoreServices

Цільовий продукт: macOS Sonoma

Вплив: шкідлива програма може отримувати доступ до приватної інформації

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-43305: анонімний дослідник, Mickey Jin (@patch1t)

GPU Drivers

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43326: Wang Yu із CyberServal

IOHIDFamily

Цільовий продукт: macOS Sonoma

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43302: Keisuke Hosoda

IOKit

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.

CVE-2025-31255: Csaba Fitzl (@theevilbit) з Kandji

Kernel

Цільовий продукт: macOS Sonoma

Вплив: сокет UDP-сервера, прив’язаний до локального інтерфейсу, може стати прив’язаним до всіх інтерфейсів.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-43231: Mickey Jin (@patch1t), Kirin@Pwnrin and LFY@secsys із Фуданського університету, анонімний дослідник

libc

Цільовий продукт: macOS Sonoma

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему відмови в обслуговуванні вирішено завдяки вдосконаленню перевірки.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

Цільовий продукт: macOS Sonoma

Вплив: обробка шкідливого рядка може призводити до пошкодження динамічної пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MediaLibrary

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему вирішено через видалення вразливого коду.

CVE-2025-43319: Hikerell (Loadshine Lab)

MigrationKit

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено через видалення вразливого коду.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) із Lupus Nova

MobileStorageMounter

Цільовий продукт: macOS Sonoma

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.

CVE-2025-43355: Dawuge із Shuffle Team

Notification Center

Цільовий продукт: macOS Sonoma

Вплив: програма може отримати доступ до контактної інформації, пов’язаної з повідомленнями в Центрі сповіщень.

Опис: проблему з приватністю вирішено завдяки вдосконаленню маскування приватних даних для записів журналу.

CVE-2025-43301: LFY@secsys із Фуданського університету

PackageKit

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2025-43298: анонімний дослідник

Perl

Цільовий продукт: macOS Sonoma

Вплив: кілька проблем у Perl.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-40909

Printing

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-31269: Zhongcheng Li з відділу IES Red компанії ByteDance

Ruby

Цільовий продукт: macOS Sonoma

Вплив: обробка файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2024-27280

Screenshots

Цільовий продукт: macOS Sonoma

Вплив: програма може робити знімок екрана при вході в повноекранний режим або виході з нього.

Опис: проблему з конфіденційністю вирішено завдяки вдосконаленню перевірок.

CVE-2025-31259: анонімний дослідник

Security Initialization

Цільовий продукт: macOS Sonoma

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему обходу карантину файлів вирішено завдяки додатковим перевіркам.

CVE-2025-43332: анонімний дослідник

SharedFileList

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-43293: анонімний дослідник

SharedFileList

Цільовий продукт: macOS Sonoma

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з дозволами вирішено завдяки видаленню вразливого коду.

CVE-2025-43291: Є Чжан (Ye Zhang) із Baidu Security

SharedFileList

Цільовий продукт: macOS Sonoma

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43286: pattern-f (@pattern_F_), @zlluny

Shortcuts

Цільовий продукт: macOS Sonoma

Вплив: певна команда в ізольованому програмному середовищі може обходити обмеження цього середовища.

Опис: проблему з дозволами вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.

CVE-2025-43358: 정답이 아닌 해답

Siri

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему приватності вирішено завдяки перенесенню конфіденційних даних.

CVE-2025-43367: Kirin (@Pwnrin), Cristian Dinca з Національної вищої школи комп’ютерних наук імені Тудора Віану, Румунія

Spell Check

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) із Lupus Nova

Storage

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43341: анонімний дослідник

StorageKit

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.

CVE-2025-43304: Mickey Jin (@patch1t)

Touch Bar

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему вирішено завдяки додатковим перевіркам прав.

CVE-2025-43311: анонімний дослідник, Justin Elliot Fu

Touch Bar Controls

Цільовий продукт: macOS Sonoma

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки додатковим перевіркам прав.

CVE-2025-43308: анонімний дослідник

WindowServer

Цільовий продукт: macOS Sonoma

Вплив: програма може обманом змусити користувача скопіювати конфіденційні дані у буфер обміну.

Опис: проблему з конфігурацією вирішено шляхом додаткових обмежень.

CVE-2025-43310: анонімний дослідник

Додаткова подяка

Airport

Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.

libpthread

Дякуємо Nathaniel Oh (@calysteon) за допомогу.

libxml2

Дякуємо за допомогу Nathaniel Oh (@calysteon), Sergei Glazunov із підрозділу Google Project Zero.

SharedFileList

Дякуємо Ye Zhang із Baidu Security за допомогу.

Wi-Fi

Дякуємо Csaba Fitzl (@theevilbit) із Kandji, Noah Gregory (wts.dev), Wojciech Regula із SecuRing (wojciechregula.blog) й анонімному досліднику за допомогу.