Obsah zabezpečenia v systéme macOS Sonoma 14.7.3
V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Sonoma 14.7.3.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.
macOS Sonoma 14.7.3
Dátum vydania: 27. januára 2025
AirPlay
Dostupné pre: macOS Sonoma
Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.
CVE-2025-24137: Uri Katz (Oligo Security)
AppleGraphicsControl
Dostupné pre: macOS Sonoma
Dopad: Analýza súboru môže viesť k neočakávanému ukončeniu apky
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2025-24112: D4m0n
AppleMobileFileIntegrity
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Problém so znížením úrovne bol riešený dodatočnými obmedzeniami pri podpisovaní kódu.
CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)
AppleMobileFileIntegrity
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k informáciám o používateľských kontaktoch
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2025-24100: Kirin (@Pwnrin)
AppleMobileFileIntegrity
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2025-24114: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2025-24121: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s prechodom na staršiu verziu, ktorý sa týkal počítačov Mac s procesorom Intel a bol vyriešený ďalšími obmedzeniami podpisovania kódu.
CVE-2025-24122: Mickey Jin (@patch1t)
ARKit
Dostupné pre: macOS Sonoma
Dopad: Analýza súboru môže viesť k neočakávanému ukončeniu apky
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu a Xingwei Lin z univerzity v Če-ťiangu
ASP TCP
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-54509: CertiK SkyFall Team
Audio
Dostupné pre: macOS Sonoma
Dopad: Analýza súboru môže viesť k neočakávanému ukončeniu apky
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2025-24106: Wang Yu z tímu Cyberserval
Contacts
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup ku kontaktom
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2024-44172: Kirin (@Pwnrin)
CoreAudio
Dostupné pre: macOS Sonoma
Dopad: Analýza súboru môže viesť k neočakávanému ukončeniu apky
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Dostupné pre: macOS Sonoma
Dopad: Analýza súboru môže viesť k neočakávanému ukončeniu apky
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2025-24123: Desmond v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2025-24124: Pwn2car a Rotiple (HyeongSeok Jang) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreRoutine
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná určiť aktuálnu polohu používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2025-24102: Kirin (@Pwnrin)
iCloud Photo Library
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones
ImageIO
Dostupné pre: macOS Sonoma
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2025-24086: DongJun Kim (@smlijun) a JongSeong Kim (@nevul37) zo spoločnosti Enki WhiteHat, D4m0n
Kernel
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2025-24118: Joseph Ravichandran (@0xjprx) z tímu MIT CSAIL
Kernel
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2025-24094: Anonymný výskumník
LaunchServices
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná čítať súbory mimo svojho sandboxu
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2025-24115: Anonymný výskumník
LaunchServices
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.
CVE-2025-24116: Anonymný výskumník
Login Window
Dostupné pre: macOS Sonoma
Dopad: Apka so škodlivým kódom môže byť schopná vytvárať symbolické odkazy na chránené oblasti disku
Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2025-24136: 云散
PackageKit
Dostupné pre: macOS Sonoma
Dopad: Miestny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2025-24099: Mickey Jin (@patch1t)
Dátum pridania záznamu: 29. januára 2025
PackageKit
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)
Photos Storage
Dostupné pre: macOS Sonoma
Dopad: Po vymazaní konverzácie v apke Správy sa kontaktné údaje používateľa môžu stále nachádzať v systémových protokoloch
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2025-24146: 神罚(@Pwnrin)
QuartzCore
Dostupné pre: macOS Sonoma
Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-54497: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Sandbox
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k odpojiteľným oddielom bez súhlasu používateľa
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)
SceneKit
Dostupné pre: macOS Sonoma
Dopad: Analýza súboru môže viesť k sprístupneniu informácií používateľa
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2025-24149: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro
Security
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2025-24103: Zhongquan Li (@Guluisacat)
sips
Dostupné pre: macOS Sonoma
Dopad: Analýza súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2025-24139: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro
SMB
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2025-24151: Anonymný výskumník
Spotlight
Dostupné pre: macOS Sonoma
Dopad: Škodlivá apka môže byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) zo spoločnosti Lupus Nova
StorageKit
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-44243: Jonathan Bar Or (@yo_yo_yo_jbo) zo spoločnosti Microsoft, Mickey Jin (@patch1t)
StorageKit
Dostupné pre: macOS Sonoma
Dopad: Miestny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania.
CVE-2025-24176: Yann GASCUEL (Alter Solutions)
TV App
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením ochrany dát.
CVE-2025-24092: Adam M.
WebContentFilter
Dostupné pre: macOS Sonoma
Dopad: Útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2025-24154: Anonymný výskumník
WindowServer
Dostupné pre: macOS Sonoma
Dopad: Útočník môže byť schopný spôsobiť neočakávané ukončenie apky
Popis: Tento problém bol vyriešený vylepšením správy životnosti objektov.
CVE-2025-24120: PixiePoint Security
Xsan
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2025-24156: Anonymný výskumník
Ďalšie poďakovanie
sips
Poďakovanie za pomoc si zaslúži Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro.
Static Linker
Poďakovanie za pomoc si zaslúži Holger Fuhrmannek.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.