A macOS Sequoia 15 biztonsági változásjegyzéke

Ez a dokumentum a macOS Sequoia 15 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Sequoia 15

Kiadási dátum: 2024. szeptember 16.

Accounts

A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac Mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói információkat kiszivárogtatni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44129

Accounts

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

Érintett terület: A rosszindulatú alkalmazások módosíthatták a hálózati beállításokat.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

Bejegyzés hozzáadva: 2024. október 28.

APFS

Érintett terület: A gyökérszintű jogosultságokkal rendelkező rosszindulatú alkalmazás módosíthatja a rendszerfájlok tartalmát

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások hozzá tudtak férni személyes információkhoz.

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2024-44130

App Intents

Érintett terület: Az alkalmazások bizonyos esetekben hozzá tudtak férni a naplózott érzékeny adatokhoz, amikor egy parancs nem tudott elindítani egy másik alkalmazást.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2024-44154: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppleGraphicsControl

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-40845: Pwn2car, a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2024-40846: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppleMobileFileIntegrity

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További kódaláírási korlátozásokkal elhárítottunk a hibát.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Érintett terület: A támadók bizalmas információkat tudtak olvasni.

Leírás: További kódaláírási korlátozásokkal elhárítottunk egy alacsonyabb szintre váltással kapcsolatos hibát.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: További korlátozásokkal elhárítottunk egy könyvtárinjektálással kapcsolatos hibát.

CVE-2024-44168: Claudio Bozzato és Francesco Benvenuto (Cisco Talos)

AppleVA

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-27860: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2024-27861: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppleVA

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2024-40841: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppSandbox

Érintett terület: A kamerabővítmények bizonyos esetekben hozzá tudtak férni az internethez.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-27795: Halle Winkler, Politepix, @hallewinkler

AppSandbox

Érintett terület: Egyes alkalmazások védett fájlokhoz férhetnek hozzá az App Sandbox konténerben.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44126: Holger Fuhrmannek

Bejegyzés hozzáadva: 2024. október 28.

Automator

Érintett terület: Az Automator gyorsműveleti munkafolyamata bizonyos esetekben meg tudta kerülni a Gatekeepert.

Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.

CVE-2024-44128: Anton Boegler

bless

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Érintett terület: Az ártó szándékkal létrehozott archívumok kicsomagolása tetszőleges fájlok írását tehette lehetővé támadók számára.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Érintett terület: Az alkalmazások bizonyos esetekben nem jelezték, hogy felvételt készítenek a képernyőről.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-27869: anonim kutató

Control Center

Érintett terület: A mikrofon- és kamera-hozzáférésre vonatkozó adatvédelmi jelzők bizonyos esetekben tévesen jeleztek.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.

CVE-2024-44146: anonim kutató

Core Data

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

Bejegyzés hozzáadva: 2024. október 28.

CUPS

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2023-4504

DiskArbitration

Érintett terület: Az elkülönített alkalmazások képesek lehettek hozzáférni a bizalmas felhasználói adatokhoz

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40855: Fitzl Csaba (@theevilbit), Kandji

Bejegyzés hozzáadva: 2024. október 28.

Disk Images

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A fájlattribútumok hatékonyabb hitelesítésével elhárítottuk a problémát.

CVE-2024-44148: anonim kutató

Dock

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2024-44177: egy névtelen kutató

FileProvider

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2024-44131: @08Tc3wBB (Jamf)

Game Center

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy fájleléréssel kapcsolatos hibát.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a felhasználó fotókönyvtárához.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-27880: Junsung Lee

ImageIO

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2024-44176: dw0r (ZeroPointer Lab) a Trend Micro Zero Day Initiative kezdeményezés keretében, valamint egy anonim kutató

Installer

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott textúrák feldolgozása váratlan alkalmazásleállást okozott.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2024-44160: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Intel Graphics Driver

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott textúrák feldolgozása váratlan alkalmazásleállást okozott.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2024-44161: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

IOSurfaceAccelerator

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-44169: Antonio Zekić

Kernel

Érintett terület: Bizonyos esetekben a hálózati forgalom kiszivároghatott a VPN-alagúton kívülre.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-44165: Andrew Lytvynov

Kernel

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2024-44175: Fitzl Csaba (@theevilbit, Kandji)

Bejegyzés hozzáadva: 2024. október 28.

Kernel

Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a Bluetoothhoz.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) és Mathy Vanhoef

LaunchServices

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-44122: anonim kutató

Bejegyzés hozzáadva: 2024. október 28.

libxml2

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.

CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)

Mail Accounts

Érintett terület: Egyes alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével hárítottunk el egy problémát.

CVE-2024-44181: Kirin (@Pwnrin) és LFY (@secsys), Fudan University

mDNSResponder

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.

CVE-2024-44183: Olivier Levon

Model I/O

Érintett terület: Egy rosszindulatú célból létrehozott kép feldolgozása szolgáltatásmegtagadáshoz vezethetett.

CVE-2023-5841

Music

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-27858: Meng Zhang (鲸落, NorthSea), Fitzl Csaba (@theevilbit, Kandji)

Bejegyzés frissítve: 2024. október 28.

Notes

Érintett terület: Egyes alkalmazások képesek voltak tetszőleges fájlokat felülírni.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2024-44167: ajajfxhj

Notification Center

Érintett terület: A rosszindulatú alkalmazások bizonyos esetekben hozzá tudtak férni az értesítésekhez a felhasználó készülékéről.

Leírás: Elhárítottunk egy adatvédelemmel kapcsolatos problémát azáltal, hogy védett helyre helyeztük át a bizalmas adatokat.

CVE-2024-40838: Brian McNulty, Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia), Vaibhav Prajapati

NSColor

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2024-44186: anonim kutató

OpenSSH

Érintett terület: Az OpenSSH több biztonsági rése.

CVE-2024-39894

PackageKit

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Érintett terület: Nem titkosított dokumentum volt írható egy ideiglenes fájlba a nyomtatási előnézet használatakor.

Leírás: A fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2024-40826: anonim kutató

Quick Look

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44149: Wojciech Regula (SecuRing, wojciechregula.blog), Fitzl Csaba (@theevilbit, Kandji)

Bejegyzés frissítve: 2024. október 28.

Safari

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak sértették az iframe-ek sandboxban való futtatására vonatkozó szabályzatot.

Leírás: Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy egyedi URL-sémakezelési hibát.

CVE-2024-44155: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

Bejegyzés hozzáadva: 2024. október 28.

Sandbox

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a felhasználó fotókönyvtárához.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula (SecuRing, wojciechregula.blog), Kirin (@Pwnrin, NorthSea)

Bejegyzés hozzáadva: 2024. október 28.

SceneKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2024-44144: 냥냥

Bejegyzés hozzáadva: 2024. október 28.

Screen Capture

Érintett terület: A fizikai hozzáféréssel rendelkező támadók a zárolt képernyőről meg tudtak osztani tartalmakat.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44137: Halle Winkler, Politepix @hallewinkler

Bejegyzés hozzáadva: 2024. október 28.

Screen Capture

Érintett terület: A támadók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44174: Vivek Dhar

Bejegyzés hozzáadva: 2024. október 28.

Security

Érintett terület: A gyökérszintű engedélyekkel rendelkező rosszindulatú alkalmazások felhasználói beleegyezés nélkül is hozzáférhettek a billentyűzeten keresztüli szövegbevitelhez és a helyadatokhoz.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44123: Wojciech Regula (SecuRing, wojciechregula.blog)

Bejegyzés hozzáadva: 2024. október 28.

Security Initialization

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), anonim kutató

Shortcuts

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Érintett terület: Bizonyos esetekben a parancsok bizalmas adatokat jelenítettek meg a felhasználó hozzájárulása nélkül.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Érintett terület: Egy alkalmazás bizonyos esetekben meg tudta figyelni a felhasználó számára a Parancsok által megjelenített adatokat.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2024-40844: Kirin (@Pwnrin) és luckyu (@uuulucky, NorthSea)

Sidecar

Érintett terület: A macOS-eszközökhöz fizikai hozzáféréssel rendelkező támadók a Sidecar engedélyezett állapota esetén megkerülhették a zárolt képernyőt.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44145: Om Kothawade, Omar A. Alanis (UNTHSC College of Pharmacy)

Bejegyzés hozzáadva: 2024. október 28.

Siri

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Elhárítottunk egy adatvédelemmel kapcsolatos problémát azáltal, hogy biztonságosabb helyre helyeztük át a bizalmas adatokat.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) és LFY (@secsys), Fudan University

System Settings

Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Érintett terület: Az MDM által felügyelt készülékeken az alkalmazások bizonyos esetben meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft)

Transparency

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40859: Fitzl Csaba (@theevilbit, Kandji)

Bejegyzés frissítve: 2024. október 28.

Vim

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

CVE-2024-41957

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh és YoKo Kho (@yokoacc, HakTrak)

WebKit

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Eltérő eredetű adatokat érintő probléma állt fenn az iframe-elemek esetén. A biztonsági eredetek hatékonyabb nyomon követésével hárítottuk el a hibát.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

Wi-Fi

Érintett terület: A jogosultsággal nem rendelkező felhasználók módosítani tudták a korlátozott hálózati beállításokat.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44134

Wi-Fi

Érintett terület: A támadók bizonyos esetekben el tudták érni a készülék leválasztását a biztonságos hálózatról.

Leírás: A jeladó védelmével megoldottuk az integritással kapcsolatos problémát.

CVE-2024-40856: Domien Schepers

WindowServer

Érintett terület: Logikai probléma állt fenn, amelynek hatására a folyamatok bizonyos esetekben a felhasználó hozzájárulása nélkül is rögzíthették a képernyő tartalmát.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44189: Tim Clem

WindowServer

Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44208: anonim kutató

Bejegyzés hozzáadva: 2024. október 28.

XProtect

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A környezeti változók hatékonyabb validálásával oldottuk meg a problémát.

CVE-2024-40842: Kalman Gergely (@gergely_kalman)

XProtect

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

További köszönetnyilvánítás

Admin Framework

Szeretnénk megköszönni Fitzl Csaba (@theevilbit; Kandji) segítségét.

Bejegyzés frissítve: 2024. október 28.

Airport

Szeretnénk megköszönni David Dudok de Wit segítségét.

Bejegyzés frissítve: 2024. október 28.

APFS

Szeretnénk megköszönni Georgi Valkov (httpstorm.com) segítségét.

App Store

Szeretnénk megköszönni Fitzl Csaba (@theevilbit; Kandji) segítségét.

Bejegyzés frissítve: 2024. október 28.

AppKit

Szeretnénk megköszönni @08Tc3wBB (Jamf) segítségét.

Apple Neural Engine

Szeretnénk megköszönni Jiaxun Zhu (@svnswords) és Minghao Lin (@Y1nKoc) segítségét.

Automator

Szeretnénk megköszönni Koh M. Nakagawa (@tsunek0h) segítségét.

Core Bluetooth

Szeretnénk megköszönni Nicholas C. of Onymos Inc. (onymos.com) segítségét.

Core Services

Szeretnénk megköszönni Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia), Kirin (@Pwnrin) és 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, Zhongquan Li (@Guluisacat) segítségét.

CUPS

Köszönjük moein abas segítségét.

Bejegyzés hozzáadva: 2024. október 28.

Disk Utility

Szeretnénk megköszönni Fitzl Csaba (@theevilbit; Kandji) segítségét.

dyld

Köszönjük Pietro Francesco Tirenna, Davide Silvetti és Abdel Adim Oisfi (Shielder, shielder.com) segítségét.

Bejegyzés hozzáadva: 2024. október 28.

FileProvider

Köszönjük Kirin (@Pwnrin) segítségét.

Foundation

Szeretnénk megköszönni az Ostorlab segítségét.

Kernel

Szeretnénk megköszönni Braxton Anderson, Fakhri Zulkifli (@d0lph1n98, PixiePoint Security) segítségét.

libxpc

Szeretnénk megköszönni Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) segítségét.

LLVM

Szeretnénk megköszönni Victor Duta (Universiteit Amsterdam), Fabio Pagani (University of California), Santa Barbara, Cristiano Giuffrida (Universiteit Amsterdam), Marius Muench és Fabian Freyer segítségét.

Maps

Köszönjük Kirin (@Pwnrin) segítségét.

Music

Szeretnénk megköszönni Khiem Tran (databaselog.com/khiemtran), K宝 és LFY@secsys (Fudan University), Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

Notification Center

Köszönjük Kirin (@Pwnrin) és LFYSec segítségét.

Bejegyzés hozzáadva: 2024. október 28.

Notifications

Köszönjük egy anonim kutató segítségét.

PackageKit

Köszönjük Fitzl Csaba (@theevilbit, Kandji), Mickey Jin (@patch1t) és Zhongquan Li (@Guluisacat) segítségét.

Bejegyzés frissítve: 2024. október 28.

Passwords

Szeretnénk megköszönni Richard Hyunho Im (@r1cheeta) segítségét.

Photos

Szeretnénk megköszönni Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopál, India), Harsh Tyagi, Leandro Chaves segítségét.

Podcasts

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

Quick Look

Szeretnénk megköszönni Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com) segítségét.

Safari

Szeretnénk megköszönni Hafiizh és YoKo Kho (@yokoacc, HakTrak), Junsung Lee, Shaheen Fazim segítségét.

Sandbox

Köszönjük Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia) segítségét.

Bejegyzés frissítve: 2024. október 28.

Screen Capture

Szeretnénk megköszönni Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) és egy anonim kutató segítségét.

Shortcuts

Köszönjük Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia), Jacob Braun és egy anonim kutató segítségét.

Siri

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopál, India), Rohan Paudel és egy anonim kutató segítségét.

Bejegyzés frissítve: 2024. október 28.

SystemMigration

Szeretnénk megköszönni Jamey Wicklund, Kevin Jansen és egy anonim kutató segítségét.

TCC

Szeretnénk megköszönni Noah Gregory (wts.dev), Vaibhav Prajapati segítségét.

UIKit

Szeretnénk megköszönni Andr.Ess segítségét.

Voice Memos

Szeretnénk megköszönni Lisa B segítségét.

WebKit

Köszönjük Avi Lumelsky (Oligo Security, Uri Katz of Oligo Security, Braylon (@softwarescool)), Eli Grey (eligrey.com), Johan Carlsson (joaxcar) és Numan Türle – Rıza Sabuncu segítségét.

Bejegyzés frissítve: 2024. október 28.

Wi-Fi

Szeretnénk megköszönni Antonio Zekic (@antoniozekic) és ant4g0nist, Tim Michaud (@TimGMichaud, Moveworks.ai) segítségét.

WindowServer

Köszönjük Felix Kratz segítségét.

Bejegyzés frissítve: 2024. október 28.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2024. november 04.