Informacije o sigurnosnom sadržaju sustava macOS Sonoma 14.7.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Sonoma 14.7.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Sonoma 14.7.3

AirPlay

Dostupno za: macOS Sonoma

Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2025-24137: Uri Katz (Oligo Security)

AppleGraphicsControl

Dostupno za: macOS Sonoma

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24112: D4m0n

AppleMobileFileIntegrity

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem vraćanja na stariju verziju riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)

AppleMobileFileIntegrity

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2025-24100: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-24114: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-24121: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem smanjenja verzije koji utječe na Mac računala s Intelovim čipom riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2025-24122: Mickey Jin (@patch1t)

ARKit

Dostupno za: macOS Sonoma

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu i Xingwei Lin (Sveučilište Zhejiang)

ASP TCP

Dostupno za: macOS Sonoma

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-54509: CertiK SkyFall Team

audio

Dostupno za: macOS Sonoma

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24106: Wang Yu (Cyberserval)

Kontakti

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti kontaktima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-44172: Kirin (@Pwnrin)

CoreAudio

Dostupno za: macOS Sonoma

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24161: Googleov tim Threat Analysis Group

CVE-2025-24160: Googleov tim Threat Analysis Group

CVE-2025-24163: Googleov tim Threat Analysis Group

CoreMedia

Dostupno za: macOS Sonoma

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24123: Desmond i inicijativa Zero Day (Trend Micro)

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) i inicijativa Zero Day (Trend Micro)

CoreRoutine

Dostupno za: macOS Sonoma

Učinak: aplikacija može odrediti korisnikovu trenutnu lokaciju

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24102: Kirin (@Pwnrin)

iCloud fotoalbum

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones

ImageIO

Dostupno za: macOS Sonoma

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24086: DongJun Kim (@smlijun) i JongSeong Kim (@nevul37) (Enki WhiteHat), D4m0n

Kernel

Dostupno za: macOS Sonoma

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24118: Joseph Ravichandran (@0xjprx) (MIT CSAIL)

Kernel

Dostupno za: macOS Sonoma

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2025-24094: anonimni istraživač

LaunchServices

Dostupno za: macOS Sonoma

Učinak: aplikacije su mogle pročitati datoteke izvan ograničene memorije

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2025-24115: anonimni istraživač

LaunchServices

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2025-24116: anonimni istraživač

Login Window

Dostupno za: macOS Sonoma

Učinak: zlonamjerna aplikacija mogla bi stvarati simboličke veze na zaštićena područja diska

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2025-24136: 云散

PackageKit

Dostupno za: macOS Sonoma

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24099: Mickey Jin (@patch1t)

PackageKit

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)

Photos Storage

Dostupno za: macOS Sonoma

Učinak: brisanjem razgovora u aplikaciji Poruke mogli su se izložiti korisnikovi podaci za kontakt u zapisniku sustava

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2025-24146: 神罚(@Pwnrin)

QuartzCore

Dostupno za: macOS Sonoma

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54497: anonimni istraživač i inicijativa Zero Day (Trend Micro)

Sandbox

Dostupno za: macOS Sonoma

Učinak: aplikacija može pristupiti prijenosnim jedinicama bez korisnikova pristanka

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)

SceneKit

Dostupno za: macOS Sonoma

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-24149: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

Sigurnost

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2025-24103: Zhongquan Li (@Guluisacat)

sips

Dostupno za: macOS Sonoma

Učinak: raščlanjivanje zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24139: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

SMB

Dostupno za: macOS Sonoma

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24151: anonimni istraživač

Spotlight

Dostupno za: macOS Sonoma

Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) (Lupus Nova)

StorageKit

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.

CVE-2024-44243: Jonathan Bar Or (@yo_yo_yo_jbo) (Microsoft), Mickey Jin (@patch1t)

StorageKit

Dostupno za: macOS Sonoma

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.

CVE-2025-24176: Yann GASCUEL (Alter Solutions)

TV App

Dostupno za: macOS Sonoma

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2025-24092: Adam M.

WebContentFilter

Dostupno za: macOS Sonoma

Učinak: napadači su mogli izazvati neočekivan pad sustava ili oštećenje kernelske memorije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-24154: anonimni istraživač

WindowServer

Dostupno za: macOS Sonoma

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: ovaj problem riješen je poboljšanim upravljanjem vijekom trajanja objekata.

CVE-2025-24120: PixiePoint Security

Xsan

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla dobiti veće ovlasti

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-24156: anonimni istraživač

Dodatna zahvala

sips

Na pomoći zahvaljujemo Hosseinu Lotfiju (@hosselot) i inicijativi Zero Day (Trend Micro).

Static Linker

Na pomoći zahvaljujemo Holgeru Fuhrmanneku.