2025-0813: macOS Sonoma: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2025-04-02 13:33)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Apple

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um beliebigen Programmcode mit den Rechten des Administrators auszuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Administratorrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen, falsche Informationen darzustellen und nicht spezifizierte Angriffe durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine Schwachstelle ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Apple hat macOS Sonoma 14.7.5 als Sicherheitsupdate veröffentlicht, um die Schwachstellen zu schließen.

Schwachstellen:

CVE-2024-40864

Schwachstelle in Apple Account ermöglicht Ausspähen von Informationen

CVE-2024-54533

Schwachstelle in Spotlight ermöglicht Ausspähen von Informationen

CVE-2024-56171

Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-9681

Schwachstelle in curl und libcurl ermöglicht u. a. Ausspähen von Informationen

CVE-2025-24085

Schwachstelle CoreMedia ermöglicht Privilegieneskalation

CVE-2025-24097

Schwachstelle in AirDrop ermöglicht Ausspähen von Informationen

CVE-2025-24148

Schwachstelle in LaunchServices ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-24157

Schwachstelle in Xsan ermöglicht Denial-of-Service-Angriff

CVE-2025-24164

Schwachstelle in PackageKit ermöglicht Manipulation von Dateien

CVE-2025-24170

Schwachstelle in CoreServices ermöglicht Erlangen von 'root'-Privilegien

CVE-2025-24172

Schwachstelle in Mail ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-24173

Schwachstelle in Power Services ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-24178

Schwachstelle in libxpc ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-24181

Schwachstelle in Sandbox ermöglicht Ausspähen von Informationen

CVE-2025-24190

Schwachstelle in CoreMedia ermöglicht Denial-of-Service-Angriff

CVE-2025-24195

Schwachstelle in Libinfo ermöglicht Privilegieneskalation

CVE-2025-24196

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2025-24198

Schwachstelle in Siri ermöglicht Ausspähen von Informationen

CVE-2025-24199

Schwachstelle in Foundation ermöglicht Denial-of-Service-Angriff

CVE-2025-24203

Schwachstelle in Kernel ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-24205

Schwachstelle in Siri ermöglicht Ausspähen von Informationen

CVE-2025-24207

Schwachstelle in Storage Management ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-24210

Schwachstelle in ImageIO ermöglicht Ausspähen von Informationen

CVE-2025-24211

Schwachstelle in CoreMedia ermöglicht Denial-of-Service-Angriff

CVE-2025-24212

Schwachstelle in Calendar ermöglicht Privilegieneskalation

CVE-2025-24215

Schwachstelle in CloudKit ermöglicht Ausspähen von Informationen

CVE-2025-24228

Schwachstelle in SMB ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten

CVE-2025-24229

Schwachstelle in Installer ermöglicht Ausspähen von Informationen

CVE-2025-24230

Schwachstelle in CoreAudio ermöglicht Denial-of-Service-Angriff

CVE-2025-24231 CVE-2025-24272

Schwachstellen in AppleMobileFileIntegrity ermöglichen Manipulation von Daten

CVE-2025-24232

Schwachstelle in NSDocument ermöglicht u. a. Ausspähen von Informationen

CVE-2025-24233

Schwachstelle in AppleMobileFileIntegrity ermöglicht Manipulation von Dateien

CVE-2025-24234

Schwachstelle in AccountPolicy ermöglicht Erlangen von 'root'-Privilegien

CVE-2025-24235

Schwachstelle in Kerberos Helper ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-24236

Schwachstelle in CoreMedia ermöglicht Ausspähen von Informationen

CVE-2025-24237

Schwachstelle in BiometricKit ermöglicht Denial-of-Service-Angriff

CVE-2025-24238

Schwachstelle in libxpc ermöglicht Privilegieneskalation

CVE-2025-24240

Schwachstelle in StorageKit ermöglicht Ausspähen von Informationen

CVE-2025-24241

Schwachstelle in WindowServer ermöglicht Ausspähen von Informationen

CVE-2025-24243

Schwachstelle in Audio ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-24244

Schwachstelle in Audio ermöglicht Ausspähen von Informationen

CVE-2025-24246

Schwachstelle in OpenSSH ermöglicht Ausspähen von Informationen

CVE-2025-24247

Schwachstelle in WindowServer ermöglicht Denial-of-Service-Angriff

CVE-2025-24249

Schwachstelle in Installer ermöglicht Ausspähen von Informationen

CVE-2025-24250

Schwachstelle in Security ermöglicht Ausspähen von Informationen

CVE-2025-24253

Schwachstelle in StorageKit ermöglicht Ausspähen von Informationen

CVE-2025-24254

Schwachstelle in Software Update ermöglicht Privilegieneskalation

CVE-2025-24255

Schwachstelle in Disk Images ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-24256

Schwachstelle in GPU Drivers ermöglicht Ausspähen von Informationen

CVE-2025-24259

Schwachstelle in Parental Controls ermöglicht Ausspähen von Informationen

CVE-2025-24260

Schwachstelle in smbx ermöglicht Denial-of-Service-Angriff

CVE-2025-24261

Schwachstelle in PackageKit ermöglicht Manipulation von Dateien

CVE-2025-24265

Schwachstelle in Xsan ermöglicht Denial-of-Service-Angriff

CVE-2025-24266

Schwachstelle in Xsan ermöglicht Denial-of-Service-Angriff

CVE-2025-24267

Schwachstelle in DiskArbitration ermöglicht Erlangen von 'root'-Privilegien

CVE-2025-24273 CVE-2025-30464

Schwachstellen in GPU Drivers ermöglichen u. a. einen Denial-of-Service-Angriff

CVE-2025-24276

Schwachstelle in App Store ermöglicht Ausspähen von Informationen

CVE-2025-24277

Schwachstelle in Crash Reporter ermöglicht Erlangen von 'root'-Privilegien

CVE-2025-24278

Schwachstelle in System Settings ermöglicht Ausspähen von Informationen

CVE-2025-24279

Schwachstelle in Voice Control ermöglicht Ausspähen von Informationen

CVE-2025-24280

Schwachstelle in Shortcuts ermöglicht Ausspähen von Informationen

CVE-2025-27113

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2025-30424

Schwachstelle in Photos Storage ermöglicht Ausspähen von Informationen

CVE-2025-30429

Schwachstelle in Calendar ermöglicht Privilegieneskalation

CVE-2025-30432

Schwachstelle in Kernel ermöglicht Denial-of-Service-Angriff

CVE-2025-30433

Schwachstelle in Shortcuts ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-30438

Schwachstelle in Share Sheet ermöglicht Darstellen falscher Informationen

CVE-2025-30443

Schwachstelle in AppleMobileFileIntegrity ermöglicht Ausspähen von Informationen

CVE-2025-30444

Schwachstelle in SMB ermöglicht Denial-of-Service-Angriff

CVE-2025-30446

Schwachstelle in PackageKit ermöglicht Manipulation von Dateien

CVE-2025-30447

Schwachstelle in Foundation ermöglicht Ausspähen von Informationen

CVE-2025-30449

Schwachstelle in StorageKit ermöglicht Erlangen von Administratorrechten

CVE-2025-30450

Schwachstelle in manpages ermöglicht Ausspähen von Informationen

CVE-2025-30452

Schwachstelle in Sandbox ermöglicht nicht spezifizierte Angriffe

CVE-2025-30454

Schwachstelle in CoreMedia Playback ermöglicht Ausspähen von Informationen

CVE-2025-30455

Schwachstelle in Dock ermöglicht Ausspähen von Informationen

CVE-2025-30456

Schwachstelle in DiskArbitration ermöglicht Privilegieneskalation

CVE-2025-30457

Schwachstelle in SystemMigration ermöglicht Erlangen von Administratorrechten

CVE-2025-30460

Schwachstelle in Automator ermöglicht Ausspähen von Informationen

CVE-2025-30462

Schwachstelle in dyld ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-30465

Schwachstelle in Shortcuts ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-30470

Schwachstelle in Maps ermöglicht Ausspähen von Informationen

CVE-2025-30471

Schwachstelle in Security ermöglicht Denial-of-Service-Angriff

CVE-2025-31182

Schwachstelle in libxpc ermöglicht Denial-of-Service-Angriff

CVE-2025-31183

Schwachstelle in Siri ermöglicht Ausspähen von Informationen

CVE-2025-31187

Schwachstelle in Dock ermöglicht Manipulation von Daten

CVE-2025-31188

Schwachstelle in StorageKit ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-31191

Schwachstelle in CoreServices ermöglicht Ausspähen von Informationen

CVE-2025-31194

Schwachstelle in Shortcuts ermöglicht Erlangen von Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.