macOS 15.x < 15.7.2 多个漏洞 (125635)
high Nessus 插件 ID 272235
语言:
简介
远程主机缺少用于修复多个漏洞的 macOS 更新描述
远程主机上运行的 macOS/Mac OS X 版本为低于 15.7.2 的 15.x。因此,该应用程序受到多个漏洞的影响:- 已通过改进的内存处理解决内存损坏问题。已在 watchOS 26.1、iOS 18.7.2 和 iPadOS 18.7.2、macOS Tahoe 26.1、visionOS 26.1、tvOS 26.1、macOS Sonoma 14.8.2、macOS Sequoia 15.7.2、iOS 26.1 和 iPadOS 26.1 中修复此问题。恶意应用程序可能导致系统意外终止,或写入内核内存。(CVE-2025-43520)
- REXML 是适用于 Ruby 的 XML 工具包。3.3.6 之前版本的 REXML gem 在解析具有多个深层元素(具有相同的本地名称属性)的 XML 时,出现拒绝服务 (DoS) 漏洞。如果需要使用树形解析器 API(如 REXML::Document.new)解析不受信任的 XML,可能会受到此漏洞的影响。如果使用流解析器 API 和 SAX2 解析器 API 等其他解析器 API,此漏洞不受影响。REXML gem 3.3.6 或更高版本包含用于修复此漏洞的补丁。(CVE-2024-43398)
- REXML 是适用于 Ruby 的 XML 工具包。3.3.9 之前的 REXML gem 在十六进制数值字符引用 (&#x...;) 中解析 &# 和 x... 之间有许多数字的 XML 时,出现 ReDoS 漏洞。使用 Ruby 3.2 或更高版本时不会发生这种情况。目前维护的 Ruby 版本中仅 Ruby 3.1 会受影响。REXML gem 3.3.9 或更高版本包含用于修复此漏洞的补丁。(CVE-2024-49761)
- 已通过改进验证解决权限问题。此问题已在 macOS Ventura 13.7.5、iPadOS 17.7.6、macOS Sequoia 15.4、macOS Sonoma 14.7.5 中修复。快捷方式或许能够访问“快捷方式”应用通常无法访问的文件。(CVE-2025-30465)
- 已通过改进状态处理解决争用情形。此问题已在 macOS Tahoe 26、macOS Sequoia 15.7.2 中修复。应用程序或可访问敏感用户数据。(CVE-2025-43292)
请注意,Nessus 并未测试这些问题,而是只依据操作系统自我报告的版本号进行判断。
解决方案
升级至 macOS 15.7.2 或更高版本。另见
插件详情
严重性: High
ID: 272235
文件名: macos_125635.nasl
版本: 1.3
类型: local
代理: macosx
发布时间: 2025/11/4
最近更新时间: 2025/12/18
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.2
时间分数: 4.6
矢量: CVSS2#AV:L/AC:L/Au:S/C:N/I:C/A:C
CVSS 分数来源: CVE-2025-43520
CVSS v3
风险因素: High
基本分数: 7.1
时间分数: 6.2
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
风险因素: High
Base Score: 8.7
Threat Score: 6.6
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2024-49761
漏洞信息
CPE: cpe:/o:apple:macos:15.0, cpe:/o:apple:mac_os_x:15.0
易利用性: No known exploits are available
补丁发布日期: 2025/11/3
漏洞发布日期: 2024/8/22
参考资料信息
CVE: CVE-2024-43398, CVE-2024-49761, CVE-2025-30465, CVE-2025-43292, CVE-2025-43322, CVE-2025-43334, CVE-2025-43335, CVE-2025-43336, CVE-2025-43337, CVE-2025-43348, CVE-2025-43361, CVE-2025-43373, CVE-2025-43377, CVE-2025-43378, CVE-2025-43379, CVE-2025-43380, CVE-2025-43382, CVE-2025-43383, CVE-2025-43384, CVE-2025-43385, CVE-2025-43387, CVE-2025-43389, CVE-2025-43390, CVE-2025-43391, CVE-2025-43394, CVE-2025-43395, CVE-2025-43396, CVE-2025-43397, CVE-2025-43398, CVE-2025-43399, CVE-2025-43401, CVE-2025-43405, CVE-2025-43407, CVE-2025-43408, CVE-2025-43409, CVE-2025-43410, CVE-2025-43411, CVE-2025-43412, CVE-2025-43413, CVE-2025-43414, CVE-2025-43420, CVE-2025-43423, CVE-2025-43445, CVE-2025-43446, CVE-2025-43448, CVE-2025-43468, CVE-2025-43469, CVE-2025-43472, CVE-2025-43474, CVE-2025-43476, CVE-2025-43477, CVE-2025-43478, CVE-2025-43479, CVE-2025-43481, CVE-2025-43494, CVE-2025-43496, CVE-2025-43498, CVE-2025-43499, CVE-2025-43510, CVE-2025-43520, CVE-2025-6442
APPLE-SA: 125635
IAVA: 2025-A-0815