关于 macOS Sequoia 15.7 的安全性内容

关于 macOS Sequoia 15.7 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户，在没有进行调查并推出修补程序或发布版本之前，Apple 不会公开、讨论或确认安全性问题。“Apple 安全性发布”页面上列出了近期发布的版本。

Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞。

有关安全性的更多信息，请参阅“Apple 产品安全性”页面。

macOS Sequoia 15.7

AMD

适用于：macOS Sequoia

影响：App 或许能够导致系统意外终止

描述：已通过改进边界检查解决缓冲区溢出问题。

CVE-2025-43312：ABC Research s.r.o.

AppKit

适用于：macOS Sequoia

影响：App 或许能够访问受保护的用户数据

描述：已通过阻止未签名的服务在基于 Intel 的 Mac 上启动解决这个问题。

CVE-2025-43321：Mickey Jin (@patch1t)

Apple Online Store Kit

适用于：macOS Sequoia

影响：App 或许能够访问受保护的用户数据

描述：已通过实施额外的限制解决权限问题。

CVE-2025-31268：Kandji 的 Csaba Fitzl (@theevilbit) 和 Nolan Astrein

AppSandbox

适用于：macOS Sequoia

影响：App 或许能够访问受保护的用户数据

描述：已通过实施额外的限制解决权限问题。

CVE-2025-43285：Zhongquan Li (@Guluisacat)、Mickey Jin (@patch1t)

ATS

适用于：macOS Sequoia

影响：App 或许能够突破沙盒

描述：已通过移除易受攻击的代码解决这个问题。

CVE-2025-43330：Bilal Siddiqui

CoreAudio

适用于：macOS Sequoia

影响：处理恶意制作的视频文件可能会导致 App 意外终止

描述：已通过改进输入验证解决越界写入问题。

CVE-2025-43349：@zlluny 与 Trend Zero Day Initiative 合作发现

CoreMedia

适用于：macOS Sequoia

影响：App 或许能够访问敏感的用户数据

描述：已通过改进状态处理解决竞态条件问题。

CVE-2025-43292：Kandji 的 Csaba Fitzl (@theevilbit) 和 Nolan Astrein

CoreServices

适用于：macOS Sequoia

影响：恶意 App 或许能够访问隐私信息

描述：已通过改进检查解决逻辑问题。

CVE-2025-43305：一位匿名研究人员、Mickey Jin (@patch1t)

GPU Drivers

适用于：macOS Sequoia

影响：App 或许能够访问敏感的用户数据

描述：已通过改进边界检查解决越界读取问题。

CVE-2025-43326：Cyberserval 的 Wang Yu

IOHIDFamily

适用于：macOS Sequoia

影响：App 或许能够导致系统意外终止

描述：已通过改进边界检查解决越界写入问题。

CVE-2025-43302：Keisuke Hosoda

IOKit

适用于：macOS Sequoia

影响：App 或许能够访问敏感的用户数据

描述：已通过改进状态管理解决授权问题。

CVE-2025-31255：Kandji 的 Csaba Fitzl (@theevilbit)

Kernel

适用于：macOS Sequoia

影响：绑定至本地接口的 UDP 服务器套接字可能会变为绑定至所有接口

描述：已通过改进状态管理解决逻辑问题。

CVE-2025-43359：Viktor Oreshkin

libc

适用于：macOS Sequoia

影响：App 或许能够导致服务遭拒

描述：已通过改进验证解决服务遭拒问题。

CVE-2025-43299：Nathaniel Oh (@calysteon)

CVE-2025-43295：Nathaniel Oh (@calysteon)

Libinfo

适用于：macOS Sequoia

影响：处理恶意制作的字符串可能会导致堆损坏

描述：已通过改进边界检查解决这个问题。

CVE-2025-43353：Nathaniel Oh (@calysteon)

MediaLibrary

适用于：macOS Sequoia

影响：App 或许能够访问受保护的用户数据

描述：已通过移除易受攻击的代码解决这个问题。

CVE-2025-43319：Hikerell (Loadshine Lab)

MigrationKit

适用于：macOS Sequoia

影响：App 或许能够访问用户敏感数据

描述：已通过移除易受攻击的代码解决这个问题。

CVE-2025-43315：Lupus Nova 的 Rodolphe Brunetti (@eisw0lf)

MobileStorageMounter

适用于：macOS Sequoia

影响：App 或许能够导致服务遭拒

描述：已通过改进内存处理解决类型混淆问题。

CVE-2025-43355：Shuffle Team 的 Dawuge

Notification Center

适用于：macOS Sequoia

影响：App 或许能够访问与“通知中心”中的通知有关的联系信息

描述：已通过改进日志条目的隐私数据遮盖策略解决隐私问题。

CVE-2025-43301：复旦大学的 LFY@secsys

PackageKit

适用于：macOS Sequoia

影响：App 或许能够获取根权限

描述：已通过改进路径验证解决处理目录路径时存在的解析问题。

CVE-2025-43298：一位匿名研究人员

Perl

适用于：macOS Sequoia

影响：Perl 中存在多个问题

描述：这是开源代码中的一个漏洞，Apple 软件也在受影响的项目之列。这个 CVE-ID 由第三方分配。如需详细了解这个问题和 CVE-ID，请访问 cve.org。

CVE-2025-40909

Ruby

适用于：macOS Sequoia

影响：处理文件可能会导致服务遭拒或泄露内存内容

描述：这是开源代码中的一个漏洞，Apple 软件也在受影响的项目之列。这个 CVE-ID 由第三方分配。如需详细了解这个问题和 CVE-ID，请访问 cve.org。

CVE-2024-27280

Screenshots

适用于：macOS Sequoia

影响：App 或许能够对进入或退出全屏模式的 App 进行截屏

描述：已通过改进检查解决隐私问题。

CVE-2025-31259：一位匿名研究人员

Security Initialization

适用于：macOS Sequoia

影响：App 或许能够突破沙盒

描述：已通过增加检查来解决文件隔离功能被绕过的问题。

CVE-2025-43332：一位匿名研究人员

SharedFileList

适用于：macOS Sequoia

影响：App 或许能够访问敏感的用户数据

描述：已通过改进输入验证解决这个问题。

CVE-2025-43293：一位匿名研究人员

SharedFileList

适用于：macOS Sequoia

影响：App 或许能够修改文件系统的受保护部分

描述：已通过移除易受攻击的代码解决权限问题。

CVE-2025-43291：百度安全实验室的 Ye Zhang

SharedFileList

适用于：macOS Sequoia

影响：App 或许能够突破沙盒

描述：已通过实施额外的限制解决权限问题。

CVE-2025-43286：pattern-f (@pattern_F_)、@zlluny

Shortcuts

适用于：macOS Sequoia

影响：快捷方式或许能够绕过沙盒限制

描述：已通过实施额外的沙盒限制解决权限问题。

CVE-2025-43358：정답이 아닌 해답

Spell Check

适用于：macOS Sequoia

影响：App 或许能够访问敏感的用户数据

描述：已通过改进路径验证解决处理目录路径时存在的解析问题。

CVE-2025-43190：Noah Gregory (wts.dev)

Spotlight

适用于：macOS Sequoia

影响：App 或许能够访问敏感的用户数据

描述：已通过改进检查解决逻辑问题。

CVE-2025-24197：Lupus Nova 的 Rodolphe Brunetti (@eisw0lf)

StorageKit

适用于：macOS Sequoia

影响：App 或许能够访问敏感的用户数据

描述：已通过改进路径验证解决处理目录路径时存在的解析问题。

CVE-2025-43314：Mickey Jin (@patch1t)

StorageKit

适用于：macOS Sequoia

影响：App 或许能够获取根权限

描述：已通过改进状态处理解决竞态条件问题。

CVE-2025-43304：Mickey Jin (@patch1t)

Touch Bar

适用于：macOS Sequoia

影响：App 或许能够访问受保护的用户数据

描述：已通过实施额外的授权检查解决这个问题。

CVE-2025-43311：一位匿名研究人员、Justin Elliot Fu

Touch Bar Controls

适用于：macOS Sequoia

影响：App 或许能够访问敏感的用户数据

描述：已通过实施额外的授权检查解决这个问题。

CVE-2025-43308：一位匿名研究人员

WindowServer

适用于：macOS Sequoia

影响：App 或许能够诱骗用户将敏感数据拷贝到粘贴板中

描述：已通过额外的限制解决配置问题。

CVE-2025-43310：一位匿名研究人员

特别鸣谢

Airport

由衷感谢 Kandji 的 Csaba Fitzl (@theevilbit) 为我们提供的协助。

ImageIO

由衷感谢 Enki WhiteHat 的 DongJun Kim (@smlijun) 和 JongSeong Kim (@nevul37) 为我们提供的协助。

libpthread

由衷感谢 Nathaniel Oh (@calysteon) 为我们提供的协助。

libxml2

由衷感谢 Nathaniel Oh (@calysteon) 为我们提供的协助。

SharedFileList

由衷感谢百度安全实验室的 Ye Zhang 为我们提供的协助。

Wi-Fi

由衷感谢 Kandji 的 Csaba Fitzl (@theevilbit)、Noah Gregory (wts.dev)、SecuRing 的 Wojciech Regula (wojciechregula.blog) 以及一位匿名研究人员为我们提供的协助。