Tietoja macOS Sequoia 15.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sequoia 15.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

macOS Sequoia 15.3

AirPlay

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan odottamattoman järjestelmän sulkeutumisen tai korruptoimaan järjestelmämuistin.

Kuvaus: Syötteen vahvistusongelma on korjattu.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Saatavuus: macOS Sequoia

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Saatavuus: macOS Sequoia

Vaikutus: etuoikeutetussa asemassa ollut hyökkääjä saattoi pystyä toteuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Saatavuus: macOS Sequoia

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2025-24177: Uri Katz (Oligo Security)

AirPlay

Saatavuus: macOS Sequoia

Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24137: Uri Katz (Oligo Security)

AppKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2025-24087: Mickey Jin (@patch1t)

AppleGraphicsControl

Saatavuus: macOS Sequoia

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24112: D4m0n

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2025-24100: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24114: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-24121: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2025-24122: Mickey Jin (@patch1t)

ARKit

Saatavuus: macOS Sequoia

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu ja Xingwei Lin (Zhejiangin yliopisto)

Audio

Saatavuus: macOS Sequoia

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24106: Wang Yu (Cyberserval)

CoreAudio

Saatavuus: macOS Sequoia

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Saatavuus: macOS Sequoia

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24123: Desmond yhteistyössä Trend Micro Zero Day Initiativen kanssa

CVE-2025-24124: Pwn2car ja Rotiple (HyeongSeok Jang) yhteistyössä Trend Micro Zero Day Initiativen kanssa

CoreMedia

Saatavuus: macOS Sequoia

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 17.2 ‑versiota julkaistuissa iOS-versioissa.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-24085

CoreRoutine

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä määrittämään käyttäjän sijainnin.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24102: Kirin (@Pwnrin)

FaceTime

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietojen paljastumisen ongelma ratkaistiin parantamalla tietosuoja-asetuksia.

CVE-2025-24134: Kirin (@Pwnrin)

iCloud

Saatavuus: macOS Sequoia

Vaikutus: Internetistä ladattuihin tiedostoihin ei välttämättä lisätty karanteeni-lippua.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24140: Matej Moravec (@MacejkoMoravec)

iCloud Photo Library

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones

ImageIO

Saatavuus: macOS Sequoia

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24086: DongJun Kim (@smlijun) ja JongSeong Kim (@nevul37) (Enki WhiteHat), D4m0n

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24118: Joseph Ravichandran (@0xjprx, MIT CSAIL)

Kernel

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24107: nimetön tutkija

Kernel

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2025-24094: nimetön tutkija

LaunchServices

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä lukemaan tiedostoja sen hiekkalaatikon ulkopuolella.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-24115: nimetön tutkija

LaunchServices

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-24116: nimetön tutkija

LaunchServices

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Login Window

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä luomaan symbolisia linkkejä levyn suojattuihin osiin.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-24136: 云散

Messages

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2025-24101: Kirin (@Pwnrin)

NSDocument

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä käyttämään mielivaltaisia tiedostoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24096: nimetön tutkija

PackageKit

Saatavuus: macOS Sequoia

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24099: Mickey Jin (@patch1t)

PackageKit

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)

Passwords

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä ohittamaan selainlaajennuksen vahvistuksen.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-24169: Josh Parnham (@joshparnham)

Photos Storage

Saatavuus: macOS Sequoia

Vaikutus: keskustelun poistaminen Viestit-apissa saattoi paljastaa käyttäjän yhteystiedot järjestelmän kirjauksessa.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2025-24146: 神罚(@Pwnrin)

Safari

Saatavuus: macOS Sequoia

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.

CVE-2025-24128: @RenwaX23

Safari

Saatavuus: macOS Sequoia

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: ongelma ratkaistiin parantamalla käyttöliittymää.

CVE-2025-24113: @RenwaX23

SceneKit

Saatavuus: macOS Sequoia

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-24149: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Security

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-24103: Zhongquan Li (@Guluisacat)

SharedFileList

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-24108: nimetön tutkija

sips

Saatavuus: macOS Sequoia

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24139: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

SMB

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24151: nimetön tutkija

CVE-2025-24152: nimetön tutkija

SMB

Saatavuus: macOS Sequoia

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24153: nimetön tutkija

Spotlight

Saatavuus: macOS Sequoia

Vaikutus: Haittaohjelma saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf, Lupus Nova)

StorageKit

Saatavuus: macOS Sequoia

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24107: nimetön tutkija

StorageKit

Saatavuus: macOS Sequoia

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan

Kuvaus: käyttöoikeusongelma on ratkaistu parantamalla validointia.

CVE-2025-24176: Yann GASCUEL (Alter Solutions)

System Extensions

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: Ongelma on ratkaistu parantamalla viestien tarkistamista.

CVE-2025-24135: Arsenii Kostromin (0x3c3e)

Time Zone

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä näkemään yhteystiedon puhelinnumeron järjestelmälokeista.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2025-24145: Kirin (@Pwnrin)

TV App

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2025-24092: Adam M.

WebContentFilter

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-24154: nimetön tutkija

WebKit

Saatavuus: macOS Sequoia

Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.

Kuvaus: tämä ongelma on ratkaistu parantamalla käyttörajoituksia tiedostojärjestelmään.

CVE-2025-24143: nimetön tutkija

WebKit

Saatavuus: macOS Sequoia

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24158: Q1IQ (@q1iqF, NUS CuriOSity) ja P1umer (@p1umer, Imperial Global Singapore)

WebKit

Saatavuus: macOS Sequoia

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24162: linjy (HKUS3Lab) ja chluo (WHUSecLab)

WebKit Web Inspector

Saatavuus: macOS Sequoia

Vaikutus: URL-osoitteen kopioiminen verkkoinspektorista saattoi johtaa komennonsyöttöön

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2025-24150: Johan Carlsson (joaxcar)

WindowServer

Saatavuus: macOS Sequoia

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: Ongelma ratkaistiin parantamalla objektien käyttöiän hallintaa.

CVE-2025-24120: PixiePoint Security

Xsan

Saatavuus: macOS Sequoia

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-24156: nimetön tutkija

Kiitokset

Audio

Haluamme kiittää avusta Google Threat Analysis Groupia.

CoreAudio

Haluamme kiittää avusta Google Threat Analysis Groupia.

CoreMedia Playback

Haluamme kiittää avusta Song Hyun Baeta (@bshyuunn) ja Lee Dong Hata (Who4mI).

DesktopServices

Haluamme kiittää avusta nimetöntä tutkijaa.

Files

Haluamme kiittää avusta Chi Yuan Changia (ZUSO ART) ja nimimerkkiä taikosoup.

Passwords

Haluamme kiittää avusta Talal Haj Bakrya ja Tommy Myskiä (Mysk Inc., @mysk_co).

sips

Haluamme kiittää avusta Trend Micron Zero Day Initiativen parissa työskentelevää Hossein Lotfia (@hosselot).

Static Linker

Haluamme kiittää avusta Holger Fuhrmannekia.

VoiceOver

Haluamme kiittää avusta Bistrit Dahalia ja Dalibor Milanovicia.