macOS 15.x < 15.7.2 の複数の脆弱性 (125635)
high Nessus プラグイン ID 272235
Language:
概要
リモートホストに、複数の脆弱性を修正する macOS の更新プログラムがありません説明
リモートホストは、バージョン 15.7.2 より前の macOS/Mac OS X 15.x を実行しています。そのため、以下の複数の脆弱性の影響を受けます。- メモリ破損の問題が、メモリ処理を改善することで対処されました。この問題は、watchOS 26.1、iOS 18.7.2 および iPadOS 18.7.2、macOS Tahoe 26.1、visionOS 26.1、tvOS 26.1、macOS Sonoma 14.8.2、macOS Sequoia 15.7.2、iOS 26.1 および iPadOS 26.1 で修正されています。悪意のあるアプリケーションが予期せぬシステム終了を引き起こしたり、カーネルメモリを書き込んだりする可能性があります。(CVE-2025-43520)
- REXML は、Ruby 用の XML ツールキットです。REXML gem 3.3.6は、ローカル名属性が同じディープ要素を多数含む XML を解析する際に引き起こされる DoS の脆弱性があります。REXML::Document.new などのツリーパーサー API で信頼できない XML を解析する必要がある場合、この脆弱性の影響を受ける可能性があります。ストリームパーサー API や SAX2 パーサー API などの他のパーサー API を使用している場合は、この脆弱性の影響を受けません。REXML gem 3.3.6 以降には、脆弱性を修正するパッチが含まれています。(CVE-2024-43398)
- REXML は、Ruby 用の XML ツールキットです。3.3.9 以前の REXML gem には、16 進数値文字参照 (&#x...;) 内の &# と x...; の間に多くの数字が含まれる XML を解析する際に引き起こされる ReDoS の脆弱性があります。これは Ruby では発生しません 3.2 またはそれ以降にアップグレードしてください。Ruby 3.1 は、影響を受ける唯一のメンテナンスされた Ruby です。REXML gem 3.3.9 以降には、脆弱性を修正するパッチが含まれています。(CVE-2024-49761)
- 検証が改善され、アクセス許可の問題が対処されました。この問題は macOS Ventura 13.7.5、iPadOS 17.7.6、macOS Sequoia 15.4、macOS Sonoma 14.7.5 で修正されています。ショートカットが、通常はショートカットアプリにアクセスできないファイルにアクセスできる可能性があります。(CVE-2025-30465)
- 状態処理を改善することで、競合状態が対処されました。この問題は、macOS Tahoe 26、macOS Sequoia 15.7.2 で修正されています。アプリが機密性の高いユーザーデータにアクセスできる可能性があります。(CVE-2025-43292)
Nessus はこれらの問題をテストしておらず、代わりにオペレーティングシステムが自己報告するバージョン番号にのみ頼っています。
ソリューション
macOS をバージョン 15.7.2 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 272235
ファイル名: macos_125635.nasl
バージョン: 1.3
タイプ: local
エージェント: macosx
公開日: 2025/11/4
更新日: 2025/12/18
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.2
現状値: 4.6
ベクトル: CVSS2#AV:L/AC:L/Au:S/C:N/I:C/A:C
CVSS スコアのソース: CVE-2025-43520
CVSS v3
リスクファクター: High
基本値: 7.1
現状値: 6.2
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 8.7
Threat Score: 6.6
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
CVSS スコアのソース: CVE-2024-49761
脆弱性情報
CPE: cpe:/o:apple:macos:15.0, cpe:/o:apple:mac_os_x:15.0
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/11/3
脆弱性公開日: 2024/8/22
参照情報
CVE: CVE-2024-43398, CVE-2024-49761, CVE-2025-30465, CVE-2025-43292, CVE-2025-43322, CVE-2025-43334, CVE-2025-43335, CVE-2025-43336, CVE-2025-43337, CVE-2025-43348, CVE-2025-43361, CVE-2025-43373, CVE-2025-43377, CVE-2025-43378, CVE-2025-43379, CVE-2025-43380, CVE-2025-43382, CVE-2025-43383, CVE-2025-43384, CVE-2025-43385, CVE-2025-43387, CVE-2025-43389, CVE-2025-43390, CVE-2025-43391, CVE-2025-43394, CVE-2025-43395, CVE-2025-43396, CVE-2025-43397, CVE-2025-43398, CVE-2025-43399, CVE-2025-43401, CVE-2025-43405, CVE-2025-43407, CVE-2025-43408, CVE-2025-43409, CVE-2025-43410, CVE-2025-43411, CVE-2025-43412, CVE-2025-43413, CVE-2025-43414, CVE-2025-43420, CVE-2025-43423, CVE-2025-43445, CVE-2025-43446, CVE-2025-43448, CVE-2025-43468, CVE-2025-43469, CVE-2025-43472, CVE-2025-43474, CVE-2025-43476, CVE-2025-43477, CVE-2025-43478, CVE-2025-43479, CVE-2025-43481, CVE-2025-43494, CVE-2025-43496, CVE-2025-43498, CVE-2025-43499, CVE-2025-43510, CVE-2025-43520, CVE-2025-6442
APPLE-SA: 125635
IAVA: 2025-A-0815