Проблеми системи безпеки, які усунено в macOS Sequoia 15.3

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.3.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Sequoia 15.3

AirPlay

Цільові продукти: macOS Sequoia

Вплив: зловмисник у локальній мережі може спричинити несподіване завершення роботи системи або пошкодження пам’яті процесів.

Опис: проблему, пов’язану з перевіркою вводу, вирішено.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Цільові продукти: macOS Sequoia

Вплив: віддалений зловмисник може призвести до неочікуваного завершення роботи програми.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Цільові продукти: macOS Sequoia

Вплив: зловмисник із привілейованим положенням може викликати відмову в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Цільові продукти: macOS Sequoia

Вплив: зловмисник може віддалено спричинити відмову в обслуговуванні.

Опис: проблему розіменування нульового покажчика вирішено через поліпшення перевірки вводу.

CVE-2025-24177: Uri Katz (Oligo Security)

AirPlay

Цільові продукти: macOS Sequoia

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.

CVE-2025-24137: Uri Katz (Oligo Security)

AppKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему усунуто завдяки додатковим перевіркам дозволів.

CVE-2025-24087: Mickey Jin (@patch1t)

AppleGraphicsControl

Цільові продукти: macOS Sequoia

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24112: D4m0n

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: програма може отримати доступ до інформації про контакти користувача.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2025-24100: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему зі зниженням рівня вирішено за допомогою додаткових обмежень підписування коду.

CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-24114: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-24121: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему зі зниженням рівня, що впливає на комп’ютери Mac із процесорами Intel, вирішено за допомогою додаткових обмежень підписування коду.

CVE-2025-24122: Mickey Jin (@patch1t)

ARKit

Цільові продукти: macOS Sequoia

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu та Xingwei Lin із Zhejiang University

Audio

Цільові продукти: macOS Sequoia

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24106: Wang Yu з Cyberserval

CoreAudio

Цільові продукти: macOS Sequoia

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24160: група аналізу загроз Google

CVE-2025-24161: група аналізу загроз Google

CVE-2025-24163: група аналізу загроз Google

CoreMedia

Цільові продукти: macOS Sequoia

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24123: Desmond у співпраці з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) у співпраці з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

CoreMedia

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може підвищувати рівень привілеїв. Компанії Apple відомо про те, що ця проблема могла активно використовуватися у версіях iOS, випущених до iOS 17.2.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2025-24085

CoreRoutine

Цільові продукти: macOS Sequoia

Вплив: програма може визначити поточне розташування користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24102: Kirin (@Pwnrin)

FaceTime

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з розкриттям інформації вирішено завдяки вдосконаленню контролю приватності.

CVE-2025-24134: Kirin (@Pwnrin)

iCloud

Цільові продукти: macOS Sequoia

Вплив: до файлів, завантажених з інтернету, може не застосовуватися прапорець карантину.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-24140: Matej Moravec (@MacejkoMoravec)

iCloud Photo Library

Цільові продукти: macOS Sequoia

Вплив: програма може обходити параметри приватності.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones

ImageIO

Цільові продукти: macOS Sequoia

Вплив: обробка зображення може призвести до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24086: DongJun Kim (@smlijun) і JongSeong Kim (@nevul37) в Enki WhiteHat, D4m0n

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24118: Joseph Ravichandran (@0xjprx) із MIT CSAIL

Kernel

Цільові продукти: macOS Sequoia

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-24107: анонімний дослідник

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему з перевіркою вирішено завдяки поліпшенню логіки.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2025-24094: анонімний дослідник

LaunchServices

Цільові продукти: macOS Sequoia

Вплив: програма може читати файли за межами ізольованого середовища.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.

CVE-2025-24115: анонімний дослідник

LaunchServices

Цільові продукти: macOS Sequoia

Вплив: програма може обходити параметри приватності.

Опис: проблему з доступом усунено завдяки додатковим обмеженням ізольованого програмного середовища.

CVE-2025-24116: анонімний дослідник

LaunchServices

Цільові продукти: macOS Sequoia

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Login Window

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може створювати символьні посилання на захищені області диска.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-24136: 云散

Messages

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2025-24101: Kirin (@Pwnrin)

NSDocument

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може отримувати доступ до довільних файлів.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-24096: анонімний дослідник

PackageKit

Цільові продукти: macOS Sequoia

Вплив: локальний зловмисник може підвищувати рівень привілеїв.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24099: Mickey Jin (@patch1t)

PackageKit

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)

Passwords

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може обійти автентифікацію розширення браузера

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-24169: Josh Parnham (@joshparnham)

Photos Storage

Цільові продукти: macOS Sequoia

Вплив: видалення розмови в Повідомленнях може відкрити контактну інформацію користувача в журналі системи.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2025-24146: 神罚(@Pwnrin)

Safari

Цільові продукти: macOS Sequoia

Вплив: відвідування шкідливих вебсайтів може призводити до підміни адресного рядка.

Опис: проблему вирішено завдяки додаванню додаткової логіки.

CVE-2025-24128: @RenwaX23

Safari

Цільові продукти: macOS Sequoia

Вплив: відвідування шкідливих вебсайтів може призводити до підміни інтерфейсу користувача.

Опис: проблему вирішено завдяки вдосконаленню інтерфейсу користувача.

CVE-2025-24113: @RenwaX23

SceneKit

Цільові продукти: macOS Sequoia

Вплив: аналіз файлу може призводити до розкриття інформації про користувача.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-24149: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Security

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-24103: Zhongquan Li (@Guluisacat)

SharedFileList

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено завдяки додатковим обмеженням ізольованого програмного середовища.

CVE-2025-24108: анонімний дослідник

sips

Цільові продукти: macOS Sequoia

Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24139: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

SMB

Цільові продукти: macOS Sequoia

Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24151: анонімний дослідник

CVE-2025-24152: анонімний дослідник

SMB

Цільові продукти: macOS Sequoia

Вплив: програма з правами кореневого користувача може виконувати довільний код із привілеями ядра.

Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2025-24153: анонімний дослідник

Spotlight

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може ініціювати витік конфіденційної інформації про користувача.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) із Lupus Nova

StorageKit

Цільові продукти: macOS Sequoia

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-24107: анонімний дослідник

StorageKit

Цільові продукти: macOS Sequoia

Вплив: локальний зловмисник може підвищувати рівень привілеїв.

Опис: проблему з дозволами вирішено завдяки вдосконаленню перевірки.

CVE-2025-24176: Yann Gascuel з Alter Solutions

System Extensions

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати вищий рівень привілеїв.

Опис: проблему вирішено завдяки вдосконаленню перевірки повідомлення.

CVE-2025-24135: Arsenii Kostromin (0x3c3e)

Time Zone

Цільові продукти: macOS Sequoia

Вплив: програма може переглядати номер телефону контакту в системних журналах.

Опис: проблему з приватністю вирішено шляхом вдосконаленого маскування приватних даних у записах журналів.

CVE-2025-24145: Kirin (@Pwnrin)

TV App

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.

CVE-2025-24092: Adam M.

WebContentFilter

Цільові продукти: macOS Sequoia

Вплив: зловмисник може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-24154: анонімний дослідник

WebKit

Цільові продукти: macOS Sequoia

Вплив: шкідлива вебсторінка може ідентифікувати користувача.

Опис: проблему вирішено завдяки вдосконаленню обмежень доступу до файлової системи.

CVE-2025-24143: анонімний дослідник

WebKit

Цільові продукти: macOS Sequoia

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24158: Q1IQ (@q1iqF) із NUS CuriOSity і P1umer (@p1umer) з Imperial Global Singapore.

WebKit

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-24162: linjy із HKUS3Lab і chluo з WHUSecLab

WebKit Web Inspector

Цільові продукти: macOS Sequoia

Вплив: копіювання URL-адреси з вебінспектора може призводити до вставляння виконуваної команди.

Опис: проблему з приватністю вирішено завдяки вдосконаленню обробки файлів.

CVE-2025-24150: Johan Carlsson (joaxcar)

WindowServer

Цільові продукти: macOS Sequoia

Вплив: зловмисник може спричиняти несподіване завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню керування життєвим циклом об’єктів.

CVE-2025-24120: PixiePoint Security

Xsan

Цільові продукти: macOS Sequoia

Вплив: програма може підвищувати рівень привілеїв.

Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-24156: анонімний дослідник

Додаткова подяка

Audio

Дякуємо за допомогу групі аналізу загроз Google.

CoreAudio

Дякуємо за допомогу групі аналізу загроз Google.

CoreMedia Playback

Дякуємо за допомогу Song Hyun Bae (@bshyuunn) і Lee Dong Ha (Who4mI).

DesktopServices

Дякуємо за допомогу анонімному досліднику.

Files

Дякуємо за допомогу користувачам Chi Yuan Chang із ZUSO ART і taikosoup.

Passwords

Дякуємо за допомогу Talal Haj Bakry і Tommy Mysk із Mysk Inc. @mysk_co.

sips

Дякуємо за допомогу користувачу Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative».

Static Linker

Дякуємо за допомогу Holger Fuhrmannek.

VoiceOver

Дякуємо за допомогу Bistrit Dahal і Dalibor Milanovic.