macOS Sequoia 15.6 安全更新:修复多个系统漏洞与安全增强

本文详细介绍了苹果macOS Sequoia 15.6版本中修复的多个安全漏洞,包括权限提升、内存损坏、沙箱逃逸等问题,涉及系统框架、内核、网络服务及多个应用程序组件,旨在提升系统安全性和稳定性。

APPLE-SA-07-29-2025-3 macOS Sequoia 15.6

macOS Sequoia 15.6 解决了以下问题。
安全内容的信息也可在 https://support.apple.com/124149 查看。

苹果在 https://support.apple.com/100100 维护了一个安全发布页面,列出了最近带有安全公告的软件更新。

安全漏洞详情

Admin Framework

适用对象: macOS Sequoia
影响: 应用可能导致拒绝服务
描述: 通过改进验证解决了路径处理问题。
CVE-2025-43191: Ryan Dowd (@_rdowd)

afclip

适用对象: macOS Sequoia
影响: 解析文件可能导致意外应用终止
描述: 通过改进内存处理解决了该问题。
CVE-2025-43186: Hossein Lotfi (@hosselot) of Trend Micro Zero Day Initiative

AMD

适用对象: macOS Sequoia
影响: 应用可能导致意外系统终止
描述: 通过改进状态处理解决了竞争条件问题。
CVE-2025-43244: ABC Research s.r.o.

AppleMobileFileIntegrity

适用对象: macOS Sequoia
影响: 应用可能获得 root 权限
描述: 通过额外限制解决了权限问题。
CVE-2025-31243: Mickey Jin (@patch1t)

适用对象: macOS Sequoia
影响: 恶意应用可能在受信任设备上启动任意二进制文件
描述: 通过改进输入验证解决了该问题。
CVE-2025-43253: Noah Gregory (wts.dev)

适用对象: macOS Sequoia
影响: 应用可能获得 root 权限
描述: 通过改进检查解决了逻辑问题。
CVE-2025-43249: Mickey Jin (@patch1t)

适用对象: macOS Sequoia
影响: 恶意应用可能获得 root 权限
描述: 通过改进限制解决了逻辑问题。
CVE-2025-43248: Mickey Jin (@patch1t)

适用对象: macOS Sequoia
影响: 应用可能访问受保护的用户数据
描述: 通过额外的代码签名限制解决了降级问题。
CVE-2025-43245: Mickey Jin (@patch1t)

Archive Utility

适用对象: macOS Sequoia
影响: 应用可能突破其沙箱
描述: 通过改进符号链接处理解决了该问题。
CVE-2025-43257: Mickey Jin (@patch1t)

CFNetwork

适用对象: macOS Sequoia
影响: 攻击者可能导致意外应用终止
描述: 通过移除易受攻击的代码解决了释放后使用问题。
CVE-2025-43222: Andreas Jaegersberger & Ro Achterberg of Nosebeard Labs

适用对象: macOS Sequoia
影响: 非特权用户可能修改受限网络设置
描述: 通过改进输入验证解决了拒绝服务问题。
CVE-2025-43223: Andreas Jaegersberger & Ro Achterberg of Nosebeard Labs

copyfile

适用对象: macOS Sequoia
影响: 应用可能访问受保护的用户数据
描述: 通过改进符号链接验证解决了该问题。
CVE-2025-43220: Mickey Jin (@patch1t)

Core Services

适用对象: macOS Sequoia
影响: 恶意应用可能获得 root 权限
描述: 通过移除易受攻击的代码解决了权限问题。
CVE-2025-43199: Gergely Kalman (@gergely_kalman), 匿名研究员

CoreAudio

适用对象: macOS Sequoia
影响: 处理恶意制作的音频文件可能导致内存损坏
描述: 通过改进内存处理解决了该问题。
CVE-2025-43277: Google’s Threat Analysis Group

CoreMedia

适用对象: macOS Sequoia
影响: 沙箱进程可能绕过沙箱限制
描述: 通过额外的沙箱限制解决了权限问题。
CVE-2025-43273: Seo Hyun-gyu (@wh1te4ever), Dora Orak, Minghao Lin (@Y1nKoc) and XiLong Zhang (@Resery4) of Xiaomi and noir (@ROIS) and fmyy (@风沐云烟)

适用对象: macOS Sequoia
影响: 处理恶意制作的媒体文件可能导致意外应用终止或进程内存损坏
描述: 通过改进边界检查解决了越界访问问题。
CVE-2025-43210: Hossein Lotfi (@hosselot) of Trend Micro Zero Day Initiative

CoreMedia Playback

适用对象: macOS Sequoia
影响: 应用可能访问用户敏感数据
描述: 通过额外的权限检查解决了该问题。
CVE-2025-43230: Chi Yuan Chang of ZUSO ART and taikosoup

CoreServices

适用对象: macOS Sequoia
影响: 应用可能访问敏感用户数据
描述: 环境变量处理中存在一个问题。通过改进验证解决了该问题。
CVE-2025-43195: 风沐云烟 (@binary_fmyy) and Minghao Lin (@Y1nKoc)

Directory Utility

适用对象: macOS Sequoia
影响: 应用可能访问敏感用户数据
描述: 通过改进验证解决了注入问题。
CVE-2025-43267: Mickey Jin (@patch1t)

Disk Images

适用对象: macOS Sequoia
影响: 运行 hdiutil 命令可能意外执行任意代码
描述: 通过移除易受攻击的代码解决了该问题。
CVE-2025-43187: 风沐云烟 (@binary_fmyy) and Minghao Lin (@Y1nKoc)

DiskArbitration

适用对象: macOS Sequoia
影响: 恶意应用可能获得 root 权限
描述: 通过额外限制解决了权限问题。
CVE-2025-43188: 匿名研究员

Dock

适用对象: macOS Sequoia
影响: 应用可能访问受保护的用户数据
描述: 通过移除易受攻击的代码解决了该问题。
CVE-2025-43198: Mickey Jin (@patch1t)

file

适用对象: macOS Sequoia
影响: 处理恶意制作的文件可能导致意外应用终止
描述: 通过改进输入验证解决了越界读取问题。
CVE-2025-43254: 2ourc3 | Salim Largo

File Bookmark

适用对象: macOS Sequoia
影响: 应用可能突破其沙箱
描述: 通过改进检查解决了逻辑问题。
CVE-2025-43261: 匿名研究员

Find My

适用对象: macOS Sequoia
影响: 应用可能对用户进行指纹识别
描述: 通过额外限制解决了权限问题。
CVE-2025-31279: Dawuge of Shuffle Team

GPU Drivers

适用对象: macOS Sequoia
影响: 应用可能导致意外系统终止
描述: 通过改进边界检查解决了越界读取问题。
CVE-2025-43255: Anonymous working with Trend Micro Zero Day Initiative

ICU

适用对象: macOS Sequoia
影响: 处理恶意制作的网页内容可能导致 Safari 意外崩溃
描述: 通过改进边界检查解决了越界访问问题。
CVE-2025-43209: Gary Kwong working with Trend Micro Zero Day Initiative

ImageIO

适用对象: macOS Sequoia
影响: 处理恶意制作的图像可能导致进程内存泄露
描述: 通过改进输入验证解决了越界读取问题。
CVE-2025-43226

Kernel

适用对象: macOS Sequoia
影响: 当多个用户同时登录时,iCloud Private Relay 可能无法激活
描述: 通过改进错误处理解决了逻辑错误。
CVE-2025-43276: Willey Lin

适用对象: macOS Sequoia
影响: 恶意应用可能获得 root 权限
描述: 通过额外限制解决了权限问题。
CVE-2025-43268: Gergely Kalman (@gergely_kalman), Arsenii Kostromin (0x3c3e)

libnetcore

适用对象: macOS Sequoia
影响: 处理文件可能导致内存损坏
描述: 通过改进内存处理解决了该问题。
CVE-2025-43202: Brian Carpenter

libxml2

适用对象: macOS Sequoia
影响: 处理文件可能导致内存损坏
描述: 这是开源代码中的一个漏洞,苹果软件是受影响的项目之一。CVE-ID 由第三方分配。在 cve.org 了解更多关于该问题和 CVE-ID 的信息。
CVE-2025-7425: Sergei Glazunov of Google Project Zero

libxpc

适用对象: macOS Sequoia
影响: 应用可能获得 root 权限
描述: 通过改进验证解决了路径处理问题。
CVE-2025-43196: 匿名研究员

libxslt

适用对象: macOS Sequoia
影响: 处理恶意制作的网页内容可能导致内存损坏
描述: 这是开源代码中的一个漏洞,苹果软件是受影响的项目之一。CVE-ID 由第三方分配。在 cve.org 了解更多关于该问题和 CVE-ID 的信息。
CVE-2025-7424: Ivan Fratric of Google Project Zero

Managed Configuration

适用对象: macOS Sequoia
影响: 启用锁定模式后,账户驱动的用户注册可能仍然可行
描述: 通过额外限制解决了配置问题。
CVE-2025-43192: Pyrophoria

MediaRemote

适用对象: macOS Sequoia
影响: 沙箱进程可能启动任何已安装的应用
描述: 通过额外限制解决了权限问题。
CVE-2025-31275: Dora Orak

Metal

适用对象: macOS Sequoia
影响: 处理恶意制作的纹理可能导致意外应用终止
描述: 通过改进输入验证解决了多个内存损坏问题。
CVE-2025-43234: Vlad Stolyarov of Google’s Threat Analysis Group

Model I/O

适用对象: macOS Sequoia
影响: 处理恶意制作的图像可能损坏进程内存
描述: 通过改进内存处理解决了该问题。
CVE-2025-43264: Michael DePlante (@izobashi) of Trend Micro Zero Day Initiative
CVE-2025-43219: Michael DePlante (@izobashi) of Trend Micro Zero Day Initiative

适用对象: macOS Sequoia
影响: 处理恶意制作的文件可能导致意外应用终止
描述: 通过改进内存处理解决了输入验证问题。
CVE-2025-31281: Michael DePlante (@izobashi) of Trend Micro Zero Day Initiative

适用对象: macOS Sequoia
影响: 处理恶意制作的媒体文件可能导致意外应用终止或进程内存损坏
描述: 通过改进边界检查解决了越界访问问题。
CVE-2025-43224: Michael DePlante (@izobashi) of Trend Micro Zero Day Initiative
CVE-2025-43221: Michael DePlante (@izobashi) of Trend Micro Zero Day Initiative

适用对象: macOS Sequoia
影响: 处理恶意制作的文件可能导致堆损坏
描述: 通过改进验证解决了内存损坏问题。
CVE-2025-31280: Michael DePlante (@izobashi) of Trend Micro Zero Day Initiative

适用对象: macOS Sequoia
影响: 处理恶意制作的 USD 文件可能泄露内存内容
描述: 通过改进输入验证解决了越界读取问题。
CVE-2025-43218: Michael DePlante (@izobashi) of Trend Micro Zero Day Initiative

适用对象: macOS Sequoia
影响: 处理恶意制作的图像可能导致进程内存泄露
描述: 通过改进检查解决了该问题。
CVE-2025-43215: Michael DePlante (@izobashi) of Trend Micro Zero Day Initiative

NetAuth

适用对象: macOS Sequoia
影响: 应用可能突破其沙箱
描述: 通过额外验证解决了竞争条件问题。
CVE-2025-43275: Csaba Fitzl (@theevilbit) of Kandji

Notes

适用对象: macOS Sequoia
影响: 应用可能未经授权访问本地网络
描述: 通过额外的沙箱限制解决了访问问题。
CVE-2025-43270: Minqiang Gui

适用对象: macOS Sequoia
影响: 应用可能访问敏感用户数据
描述: 通过改进数据脱敏解决了日志问题。
CVE-2025-43225: Kirin (@Pwnrin)

NSSpellChecker

适用对象: macOS Sequoia
影响: 应用可能突破其沙箱
描述: 通过额外限制解决了权限问题。
CVE-2025-43266: Noah Gregory (wts.dev)

PackageKit

适用对象: macOS Sequoia
影响: 应用可能劫持授予其他特权应用的权限
描述: 通过改进数据保护解决了该问题。
CVE-2025-43260: Zhongquan Li (@Guluisacat)

适用对象: macOS Sequoia
影响: 具有 root 权限的恶意应用可能修改系统文件内容
描述: 通过额外限制解决了权限问题。
CVE-2025-43247: Mickey Jin (@patch1t)

适用对象: macOS Sequoia
影响: 应用可能修改文件系统的受保护部分
描述: 通过改进检查解决了该问题。
CVE-2025-43194: Mickey Jin (@patch1t)

适用对象: macOS Sequoia
影响: 应用可能绕过某些隐私偏好设置
描述: 通过额外限制解决了权限问题。
CVE-2025-43232: Koh M. Nakagawa (@tsunek0h), Csaba Fitzl (@theevilbit) of Kandji and Gergely Kalman (@gergely_kalman)

Power Management

适用对象: macOS Sequoia
影响: 攻击者可能导致意外应用终止
描述: 通过改进内存处理解决了类型混淆问题。
CVE-2025-43236: Dawuge of Shuffle Team

适用对象: macOS Sequoia
影响: 应用可能导致拒绝服务
描述: 通过改进内存处理解决了该问题。
CVE-2025-43235: Dawuge of Shuffle Team

RemoteViewServices

适用对象: macOS Sequoia
影响: 沙箱进程可能绕过沙箱限制
描述: 通过移除易受攻击的代码解决了隐私问题。
CVE-2025-43274: 匿名研究员, Hikerell of Loadshine Lab, @zlluny

Safari

适用对象: macOS Sequoia
影响: 处理恶意制作的网页内容可能导致 Safari 意外崩溃
描述: 通过改进检查解决了逻辑问题。
CVE-2025-24188: Andreas Jaegersberger & Ro Achterberg of Nosebeard Labs

SceneKit

适用对象: macOS Sequoia
影响: 应用可能读取其沙箱外的文件
描述: 通过额外限制解决了权限问题。
CVE-2025-43241: Mickey Jin (@patch1t)

Security

适用对象: macOS Sequoia
影响: 充当 HTTPS 代理的恶意应用可能访问敏感用户数据
描述: 通过改进访问限制解决了该问题。
CVE-2025-43233: Wojciech Regula of SecuRing (wojciechregula.blog)

SecurityAgent

适用对象: macOS Sequoia
影响: 应用可能导致拒绝服务
描述: 通过改进内存处理解决了该问题。
CVE-2025-43193: Dawuge of Shuffle Team

SharedFileList

适用对象: macOS Sequoia
影响: 应用可能突破其沙箱
描述: 通过改进验证解决了路径处理问题。
CVE-2025-43250: Mickey Jin (@patch1t), Yuebin Sun

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次