Een kwetsbaarheid in iOS en macOS maakt het mogelijk voor een aanvaller om door middel van een malafide audiobestand code op het systeem uit te voeren. Apple heeft updates uitgebracht om het probleem te verhelpen. Daarnaast zijn ook andere beveiligingslekken verholpen, waaronder één die het mogelijk maakt voor malafide websites om gebruikers in de de Safari private browsing mode te volgen en een lek waardoor het mogelijk is om WebAuthn credentials te stelen.

Met macOS Sequoia 15.4 heeft Apple in totaal 131 kwetsbaarheden gepatcht. Een beveiligingslek in het audio-onderdeel van het besturingssysteem (CVE-2025-24243) maakt het mogelijk voor een aanvaller om door middel van een malafide audiobestand code uit te voeren. Een beveiligingslek in spraakassistent Siri (CVE-2025-24198) kan een aanvaller met fysieke toegang tot het systeem toegang tot gevoelige gebruikersgegevens geven.

Een beveiligingslek in 'Authentication Services' (CVE-2025-24180) maakt het mogelijk voor een malafide website om WebAuthn credentials van een andere website te claimen die een 'registrable suffix' delen. WebKit-kwetsbaarheid CVE-2025-30425 maakt het mogelijk voor malafide websites om gebruikers in de Safari private browsing mode te volgen.

Een beveiligingslek in Authentication Services zorgt ervoor dat password autofill wachtwoorden invult als de authenticatie is mislukt. De bovengenoemde kwetsbaarheden zijn ook in iOS en iPadOS 18.4 verholpen. Daarnaast heeft Apple ook specifieke iOS-lekken gepatcht, waaronder een kwetsbaarheid in Accounts. Via dit beveiligingslek (CVE-2025-24221) is het mogelijk om gevoelige keychain data uit een iOS-back-up te halen. Apple geeft geen verdere details over de kwetsbaarheden.