Om sikkerhedsindholdet i macOS Sequoia 15.3

I dette dokument beskrives sikkerhedsindholdet i macOS Sequoia 15.3.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Sequoia 15.3

AirPlay

Fås til: macOS Sequoia

Effekt: En hacker på det lokale netværk kan forårsage uventet systemnedlukning eller korrupt proceshukommelse

Beskrivelse: Et problem med inputvalidering er løst.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Fås til: macOS Sequoia

Effekt: En ekstern hacker kan forårsage en uventet applukning

Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Fås til: macOS Sequoia

Effekt: En hacker med en privilegeret position kan udføre et DoS-angreb

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Fås til: macOS Sequoia

Effekt: En hacker kan muligvis fremkalde et DoS-angreb

Beskrivelse: En reference til en null-pointer er rettet gennem forbedret inputvalidering.

CVE-2025-24177: Uri Katz (Oligo Security)

AirPlay

Fås til: macOS Sequoia

Effekt: En hacker kan forårsage uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.

CVE-2025-24137: Uri Katz (Oligo Security)

AppKit

Fås til: macOS Sequoia

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.

CVE-2025-24087: Mickey Jin (@patch1t)

AppleGraphicsControl

Fås til: macOS Sequoia

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24112: D4m0n

AppleMobileFileIntegrity

Fås til: macOS Sequoia

Effekt: En app kan muligvis få adgang til oplysninger om en brugers kontakter

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2025-24100: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Fås til: macOS Sequoia

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et nedgraderingsproblem er løst ved yderligere kodesigneringsrestriktioner.

CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)

AppleMobileFileIntegrity

Fås til: macOS Sequoia

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2025-24114: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Fås til: macOS Sequoia

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2025-24121: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Fås til: macOS Sequoia

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Et nedgraderingsproblem, der påvirker Intel-baserede Mac-computere, er løst via yderligere kodesigneringsrestriktioner.

CVE-2025-24122: Mickey Jin (@patch1t)

ARKit

Fås til: macOS Sequoia

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu og Xingwei Lin fra Zhejiang University

Audio

Fås til: macOS Sequoia

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24106: Wang Yu fra Cyberserval

CoreAudio

Fås til: macOS Sequoia

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Fås til: macOS Sequoia

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24123: Desmond, der arbejder med Trend Micro Zero Day Initiative

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang), der arbejder med Trend Micro Zero Day Initiative

CoreMedia

Fås til: macOS Sequoia

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet i tidligere versioner af iOS fra før iOS 17.2.

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2025-24085

CoreRoutine

Fås til: macOS Sequoia

Effekt: En app kan muligvis bestemme en brugers aktuelle lokalitet

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24102: Kirin (@Pwnrin)

FaceTime

Fås til: macOS Sequoia

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedrede anonymitetskontroller.

CVE-2025-24134: Kirin (@Pwnrin)

iCloud

Fås til: macOS Sequoia

Effekt: Arkiver, der er downloadet fra internettet, er muligvis ikke markeret med karantæneflaget

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-24140: Matej Moravec (@MacejkoMoravec)

iCloud Photo Library

Fås til: macOS Sequoia

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones

ImageIO

Fås til: macOS Sequoia

Effekt: Behandling af et billede kan føre til DoS-angreb

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-24086: DongJun Kim (@smlijun) og JongSeong Kim (@nevul37) i Enki WhiteHat, D4m0n

Kernel

Fås til: macOS Sequoia

Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2025-24118: Joseph Ravichandran (@0xjprx) fra MIT CSAIL

Kernel

Fås til: macOS Sequoia

Effekt: En skadelig app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2025-24107: en anonym programmør

Kernel

Fås til: macOS Sequoia

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Fås til: macOS Sequoia

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2025-24094: en anonym programmør

LaunchServices

Fås til: macOS Sequoia

Effekt: En app kan muligvis læse arkiver uden for sin sandbox

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2025-24115: en anonym programmør

LaunchServices

Fås til: macOS Sequoia

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.

CVE-2025-24116: en anonym programmør

LaunchServices

Fås til: macOS Sequoia

Effekt: En app kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Login Window

Fås til: macOS Sequoia

Effekt: En skadelig app kan muligvis oprette symbolske links til beskyttede områder på disken

Beskrivelse: Problemet er løst via forbedret godkendelse af symbolske links.

CVE-2025-24136: 云散

Messages

Fås til: macOS Sequoia

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved forbedret bortredigering af følsomme oplysninger.

CVE-2025-24101: Kirin (@Pwnrin)

NSDocument

Fås til: macOS Sequoia

Effekt: En skadelig app kan muligvis få adgang til vilkårlige arkiver

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-24096: en anonym programmør

PackageKit

Fås til: macOS Sequoia

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24099: Mickey Jin (@patch1t)

PackageKit

Fås til: macOS Sequoia

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)

Passwords

Fås til: macOS Sequoia

Effekt: En skadelig app kan muligvis omgå godkendelse af browserudvidelse

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2025-24169: Josh Parnham (@joshparnham)

Photos Storage

Fås til: macOS Sequoia

Effekt: Hvis en samtale slettes i Beskeder, kan brugerkontaktoplysninger blive udsatte i systemlogføring

Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.

CVE-2025-24146: 神罚(@Pwnrin)

Safari

Fås til: macOS Sequoia

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Problemet blev løst ved at tilføje yderligere logik.

CVE-2025-24128: @RenwaX23

Safari

Fås til: macOS Sequoia

Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

Beskrivelse: Problemet blev løst ved forbedret brugergrænseflade.

CVE-2025-24113: @RenwaX23

SceneKit

Fås til: macOS Sequoia

Effekt: Parsing af et arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2025-24149: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Security

Fås til: macOS Sequoia

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Problemet er løst via forbedret godkendelse af symbolske links.

CVE-2025-24103: Zhongquan Li (@Guluisacat)

SharedFileList

Fås til: macOS Sequoia

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.

CVE-2025-24108: en anonym programmør

sips

Fås til: macOS Sequoia

Effekt: Parsing af et skadeligt arkiv kan medføre en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24139: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

SMB

Fås til: macOS Sequoia

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2025-24151: en anonym programmør

CVE-2025-24152: en anonym programmør

SMB

Fås til: macOS Sequoia

Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med bufferoverløb er løst via forbedret hukommelseshåndtering.

CVE-2025-24153: en anonym programmør

Spotlight

Fås til: macOS Sequoia

Effekt: Et skadeligt program kan lække følsomme brugeroplysninger

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) fra Lupus Nova

StorageKit

Fås til: macOS Sequoia

Effekt: En skadelig app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2025-24107: en anonym programmør

StorageKit

Fås til: macOS Sequoia

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Et tilladelsesproblem er løst via forbedret godkendelse.

CVE-2025-24176: Yann GASCUEL fra Alter Solutions

System Extensions

Fås til: macOS Sequoia

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Problemet er løst via forbedret godkendelse af beskeder.

CVE-2025-24135: Arsenii Kostromin (0x3c3e)

Time Zone

Fås til: macOS Sequoia

Effekt: En app kan muligvis se en kontakts telefonnummer i systemlogge

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2025-24145: Kirin (@Pwnrin)

TV App

Fås til: macOS Sequoia

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2025-24092: Adam M.

WebContentFilter

Fås til: macOS Sequoia

Effekt: En hacker kan muligvis udløse pludselig systemlukning eller beskadigelse af kernehukommelsen

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2025-24154: en anonym programmør

WebKit

Fås til: macOS Sequoia

Effekt: En webside med skadeligt indhold kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Problemet blev løst ved forbedret adgangsbegrænsninger til arkivsystemet.

CVE-2025-24143: en anonym programmør

WebKit

Fås til: macOS Sequoia

Effekt: Behandling af webindhold kan føre til DoS-angreb

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-24158: Q1IQ (@q1iqF) fra NUS CuriOSity og P1umer (@p1umer) fra Imperial Global Singapore.

WebKit

Fås til: macOS Sequoia

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-24162: linjy fra HKUS3Lab og chluo fra WHUSecLab

WebKit Web Inspector

Fås til: macOS Sequoia

Effekt: Kopiering af en URL fra Info om web kan muligvis medføre kommandoindsættelse

Beskrivelse: Et anonymitetsproblem er løst via forbedret håndtering af arkiver.

CVE-2025-24150: Johan Carlsson (joaxcar)

WindowServer

Fås til: macOS Sequoia

Effekt: En hacker kan forårsage uventet applukning

Beskrivelse: Dette problem blev løst ved at forbedre håndteringen af objekters levetid.

CVE-2025-24120: PixiePoint Security

Xsan

Fås til: macOS Sequoia

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2025-24156: en anonym programmør

Yderligere anerkendelser

Audio

Vi vil gerne takke Google Threat Analysis Group for hjælpen.

CoreAudio

Vi vil gerne takke Google Threat Analysis Group for hjælpen.

CoreMedia Playback

Vi vil gerne takke Song Hyun Bae (@bshyuunn) og Lee Dong Ha (Who4mI) for hjælpen.

DesktopServices

Vi vil gerne takke en anonym programmør for hjælpen.

Files

Vi vil gerne takke Chi Yuan Chang fra ZUSO ART og taikosoup for hjælpen.

Passwords

Vi vil gerne takke Talal Haj Bakry og Tommy Mysk fra Mysk Inc. @mysk_co for hjælpen.

sips

Vi vil gerne takke Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative for hjælpen.

Static Linker

Vi vil gerne takke Holger Fuhrmannek for hjælpen.

VoiceOver

Vi vil gerne takke Bistrit Dahal, Dalibor Milanovic for hjælpen.