検出

macOS 14.x < 14.8.2 複数の脆弱性125636

high Nessus プラグイン ID 272227

Language:

概要

リモートホストに、複数の脆弱性を修正する macOS の更新プログラムがありません

説明

リモートホストは、バージョン 14.8.2 より前の macOS/Mac OS X 14.x を実行しています。そのため、以下の複数の脆弱性の影響を受けます。

 - この問題は、改善された入力検証で対処されました。この問題はtvOS 26、watchOS 26、visionOS 26、macOS Tahoe 26、iOS 26、iPadOS 26で修正されています。悪意のある細工されたメディアファイルを処理すると、アプリが予期せず終了することや、プロセスメモリが破損することがあります。CVE-2025-43372

 - REXML は、Ruby 用の XML ツールキットです。REXML gem 3.3.6は、ローカル名属性が同じディープ要素を多数含む XML を解析する際に引き起こされる DoS の脆弱性があります。REXML::Document.new などのツリーパーサー API で信頼できない XML を解析する必要がある場合、この脆弱性の影響を受ける可能性があります。ストリームパーサー API や SAX2 パーサー API などの他のパーサー API を使用している場合は、この脆弱性の影響を受けません。REXML gem 3.3.6 以降には、脆弱性を修正するパッチが含まれています。(CVE-2024-43398)

 - REXML は、Ruby 用の XML ツールキットです。3.3.9 以前の REXML gem には、16 進数値文字参照 (&#x...;) 内の &# と x...; の間に多くの数字が含まれる XML を解析する際に引き起こされる ReDoS の脆弱性があります。これは Ruby では発生しません 3.2 またはそれ以降にアップグレードしてください。Ruby 3.1 は、影響を受ける唯一のメンテナンスされた Ruby です。REXML gem 3.3.9 以降には、脆弱性を修正するパッチが含まれています。(CVE-2024-49761)

 - 検証が改善され、アクセス許可の問題が対処されました。この問題は、macOS Ventura 13.7.5、iPadOS 17.7.6、macOS Sequoia 15.4、macOSsonoma 14.7.5で修正されています。ショートカットが、通常はショートカットアプリにアクセスできないファイルにアクセスできる可能性があります。CVE-2025-30465

 - データの修正が改善され、ロギングの問題が解決されました。この問題はiOS 18.4 、iPadOS 18.4、visionOS 2.4、macOS Sequoia 15.4で修正されています。アプリが機密性の高いユーザーデータにアクセスできる可能性があります。(CVE-2025-31199)

Nessus はこれらの問題をテストしておらず、代わりにオペレーティングシステムが自己報告するバージョン番号にのみ頼っています。

ソリューション

macOS をバージョン 14.8.2 以降にアップグレードしてください。

参考資料

https://support.apple.com/en-us/125636

プラグインの詳細

深刻度: High

ID: 272227

ファイル名: macos_125636.nasl

バージョン: 1.2

タイプ: local

エージェント: macosx

公開日: 2025/11/3

更新日: 2025/11/7

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.7

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-43372

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: High

Base Score: 8.7

Threat Score: 6.6

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2024-49761

脆弱性情報

CPE: cpe:/o:apple:macos:14.0, cpe:/o:apple:mac_os_x:14.0

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/11/3

脆弱性公開日: 2024/8/22

参照情報

CVE: CVE-2024-43398, CVE-2024-49761, CVE-2025-30465, CVE-2025-31199, CVE-2025-43322, CVE-2025-43334, CVE-2025-43335, CVE-2025-43336, CVE-2025-43338, CVE-2025-43348, CVE-2025-43361, CVE-2025-43372, CVE-2025-43373, CVE-2025-43379, CVE-2025-43380, CVE-2025-43382, CVE-2025-43389, CVE-2025-43391, CVE-2025-43394, CVE-2025-43395, CVE-2025-43396, CVE-2025-43397, CVE-2025-43398, CVE-2025-43401, CVE-2025-43405, CVE-2025-43407, CVE-2025-43408, CVE-2025-43411, CVE-2025-43412, CVE-2025-43413, CVE-2025-43414, CVE-2025-43420, CVE-2025-43445, CVE-2025-43446, CVE-2025-43448, CVE-2025-43468, CVE-2025-43469, CVE-2025-43472, CVE-2025-43474, CVE-2025-43476, CVE-2025-43477, CVE-2025-43478, CVE-2025-43479, CVE-2025-43498, CVE-2025-43499, CVE-2025-6442

APPLE-SA: 125636

IAVA: 2025-A-0815