Informace o bezpečnostním obsahu macOS Sequoia 15

Tento dokument popisuje bezpečnostní obsah macOS Sequoia 15.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

macOS Sequoia 15

Vydáno 16. září 2024

Accounts

K dispozici pro: Mac Studio (2022 a novější), iMac (2019 a novější), Mac Pro (2019 a novější), Mac mini (2018 a novější), MacBook Air (2020 a novější), MacBook Pro (2018 a novější) a iMac Pro (2017 a novější)

Dopad: Aplikaci se může podařit odhalit citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44129

Accounts

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením logiky oprávnění.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

Dopad: Škodlivé aplikaci se může podařit změnit nastavení sítě.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

Záznam přidán 28. října 2024

APFS

Dopad: Škodlivé aplikaci s kořenovými oprávněními se může podařit změnit obsah systémových souborů.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Dopad: Aplikaci s kořenovými oprávněními se může podařit získat přístup k soukromým informacím.

Popis: Problém byl vyřešen vylepšením ochrany dat.

CVE-2024-44130

App Intents

Dopad: Aplikace může mít přístup k citlivým datům zaznamenaným, když zkratka nedokáže spustit jinou aplikaci.

Popis: Problém byl vyřešen vylepšením mazání citlivých údajů.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém s inicializací paměti byl vyřešen vylepšením správy paměti.

CVE-2024-44154: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro

AppleGraphicsControl

Dopad: Zpracování škodlivého souboru videa může vést k neočekávanému ukončení aplikace.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-40845: Pwn2car ve spolupráci se Zero Day Initiative společnosti Trend Micro

CVE-2024-40846: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro

AppleMobileFileIntegrity

Dopad: Aplikaci se může podařit obejít předvolby soukromí.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen přidáním dalších omezení podepisování kódu.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dopad: Útočník může být schopen číst citlivé informace.

Popis: Problém s downgradem byl vyřešen přidáním dalších omezení podepisování kódu.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.

Popis: Problém s vložením knihovny byl vyřešen přidáním dalších omezení.

CVE-2024-44168: Claudio Bozzato a Francesco Benvenuto ze společnosti Cisco Talos

AppleVA

Dopad: Aplikaci se může podařit číst vyhrazenou paměť.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-27860: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro

CVE-2024-27861: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro

AppleVA

Dopad: Zpracování škodlivého souboru videa může vést k neočekávanému ukončení aplikace.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2024-40841: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro

AppSandbox

Dopad: Rozšíření fotoaparátu může získat přístup k internetu.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-27795: Halle Winkler, Politepix @hallewinkler

AppSandbox

Dopad: Aplikaci se může podařit získat přístup k chráněným souborům v kontejneru aplikačního sandboxu.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Dopad: Aplikaci se může podařit uniknout ze sandboxu.

Popis: Problém byl vyřešen vylepšením zpracování symbolických odkazů.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Dopad: Zpracování škodlivého souboru může vést k poškození haldy.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44126: Holger Fuhrmannek

Záznam přidán 28. října 2024

Automator

Dopad: Postup rychlé akce Automator může obejít funkci Gatekeeper.

Popis: Tento problém byl vyřešen přidáním další výzvy pro souhlas uživatele.

CVE-2024-44128: Anton Boegler

bless

Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Dopad: Rozbalení škodlivého archivu může útočníkovi umožnit zápis libovolných souborů.

Popis: Problém se souběhem byl vyřešen vylepšením zamykání.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Dopad: Aplikace může zaznamenat obrazovku bez indikátoru.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-27869: anonymní výzkumník

Control Center

Dopad: Indikátory soukromí pro přístup mikrofonu nebo fotoaparátu mohou být přiřazeny nesprávně.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Dopad: Aplikaci se může podařit uniknout ze sandboxu.

Popis: Problém v logice byl vyřešen vylepšením zpracování souborů.

CVE-2024-44146: anonymní výzkumník

Core Data

Dopad: Aplikaci se může podařit číst citlivé polohové informace.

Popis: Problém se soukromím byl vyřešen vylepšením mazání soukromých dat v záznamech protokolů.

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

Záznam přidán 28. října 2024

CUPS

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2023-4504

DiskArbitration

Dopad: Aplikaci v sandboxu se může podařit číst citlivá uživatelská data.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-40855: Csaba Fitzl (@theevilbit) ze společnosti Kandji

Záznam přidán 28. října 2024

Disk Images

Dopad: Aplikaci se může podařit uniknout ze sandboxu.

Popis: Problém byl vyřešen vylepšením ověřování atributů souborů.

CVE-2024-44148: anonymní výzkumník

Dock

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s ochranou soukromí byl vyřešen odstraněním citlivých dat.

CVE-2024-44177: anonymní výzkumník

FileProvider

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.

CVE-2024-44131: @08Tc3wBB ze společnosti Jamf

Game Center

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s přístupem k souborům byl vyřešen vylepšením ověřování vstupů.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Dopad: Aplikace může získat přístup k uživatelově knihovně Fotek.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupu.

CVE-2024-27880: Junsung Lee

ImageIO

Dopad: Zpracování obrázku může vést k odepření služby.

Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.

CVE-2024-44176: dw0r ze ZeroPointer Lab ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro, anonymní výzkumník

Installer

Dopad: Aplikaci se může podařit získat kořenová oprávnění.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Dopad: Zpracování škodlivé textury může vést k neočekávanému ukončení aplikace.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.

CVE-2024-44160: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro

Intel Graphics Driver

Dopad: Zpracování škodlivé textury může vést k neočekávanému ukončení aplikace.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2024-44161: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro

IOSurfaceAccelerator

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-44169: Antonio Zekić

Kernel

Dopad: Síťový provoz může unikat mimo tunel VPN.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2024-44165: Andrew Lytvynov

Kernel

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.

CVE-2024-44175: Csaba Fitzl (@theevilbit) ze společnosti Kandji

Záznam přidán 28. října 2024

Kernel

Dopad: Aplikace může získat neoprávněný přístup k Bluetooth.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) a Mathy Vanhoef

LaunchServices

Dopad: Aplikaci se může podařit uniknout ze sandboxu.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2024-44122: anonymní výzkumník

Záznam přidán 28. října 2024

libxml2

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Přetečení celých čísel bylo vyřešeno vylepšením ověřování vstupů.

CVE-2024-44198: OSS-Fuzz, Ned Williamson z týmu Google Project Zero

Mail Accounts

Dopad: Aplikaci se může podařit číst údaje o kontaktech uživatele.

Popis: Problém se soukromím byl vyřešen vylepšením mazání soukromých dat v záznamech protokolů.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Dopad: Aplikaci se může podařit číst citlivé polohové informace.

Popis: Problém byl vyřešen lepším zpracováváním dočasných souborů.

CVE-2024-44181: Kirin (@Pwnrin) a LFY (@secsys) z Univerzity Fu-tan

mDNSResponder

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Chyba v logice byla vyřešena vylepšením zpracování chyb.

CVE-2024-44183: Olivier Levon

Model I/O

Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služeb.

CVE-2023-5841

Music

Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-27858: Meng Zhang (鲸落) ze společnosti NorthSea, Csaba Fitzl (@theevilbit) ze společnosti Kandji

Záznam aktualizován 28. října 2024

Notes

Dopad: Aplikaci se může podařit přepisovat libovolné soubory.

Popis: Problém byl vyřešen odebráním zranitelného kódu.

CVE-2024-44167: ajajfxhj

Notification Center

Dopad: Škodlivá aplikace může získat přístup k oznámením ze zařízení uživatele.

Popis: Problém s ochranou soukromí byl vyřešen přesunutím citlivých dat do chráněného umístění.

CVE-2024-40838: Brian McNulty, Cristian Dinca z Národní střední školy informatiky „Tudor Vianu“, Rumunsko, Vaibhav Prajapati

NSColor

Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.

Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.

CVE-2024-44186: anonymní výzkumník

OpenSSH

Dopad: Několik problémů v OpenSSH.

CVE-2024-39894

PackageKit

Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.

Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Dopad: Při používání náhledu tisku se můžou nezašifrované dokumenty zapisovat do dočasných souborů.

Popis: Problém se soukromím byl vyřešen lepším zpracováváním souborů.

CVE-2024-40826: anonymní výzkumník

Quick Look

Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-44149: Wojciech Regula ze společnosti SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) ze společnosti Kandji

Záznam aktualizován 28. října 2024

Safari

Dopad: Návštěva škodlivého webu může vést ke zfalšování uživatelského rozhraní.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Dopad: Škodlivý webový obsah může porušit zásady sandboxování rámců iframe.

Popis: Problém ve zpracování vlastních schémat URL byl vyřešen vylepšením ověřování vstupů.

CVE-2024-44155: Narendra Bhati, manažer týmu kybernetické bezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)

Záznam přidán 28. října 2024

Sandbox

Dopad: Škodlivé aplikaci se může podařit odhalit citlivé uživatelské informace.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Dopad: Škodlivé aplikaci se může podařit získat přístup k soukromým informacím.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Dopad: Aplikace může získat přístup k uživatelově knihovně Fotek.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula ze společnosti SecuRing (wojciechregula.blog), Kirin (@ Pwnrin) ze společnosti NorthSea

Záznam přidán 28. října 2024

SceneKit

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování velikosti.

CVE-2024-44144: 냥냥

Záznam přidán 28. října 2024

Screen Capture

Dopad: Útočníkovi s fyzickým přístupem se může podařit sdílet položky ze zamčené obrazovky.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44137: Halle Winkler, Politepix @hallewinkler

Záznam přidán 28. října 2024

Screen Capture

Dopad: Útočníkovi se může podařit zobrazit ze zamknuté obrazovky omezený obsah.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44174: Vivek Dhar

Záznam přidán 28. října 2024

Security

Dopad: Škodlivé aplikaci s kořenovými oprávněními se může podařit získat bez souhlasu uživatele přístup ke vstupům z klávesnice a informacím o poloze.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-44123: Wojciech Regula z týmu SecuRing (wojciechregula.blog)

Záznam přidán 28. října 2024

Security Initialization

Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), anonymní výzkumník

Shortcuts

Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Dopad: Výstupem zástupce mohou být citlivé údaje uživatele bez souhlasu.

Popis: Problém byl vyřešen vylepšením mazání citlivých údajů.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Dopad: Aplikace může být schopna číst údaje, které se uživateli zobrazují ve Zkratkách.

Popis: Problém se soukromím byl vyřešen lepším zpracováváním dočasných souborů.

CVE-2024-40844: Kirin (@Pwnrin) a luckyu (@uuulucky) ze společnosti NorthSea

Sidecar

Dopad: Útočníkovi s fyzickým přístupem k zařízení s macOS se zapnutým Sidecarem se může podařit obejít zamčenou obrazovku.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-44145: Om Kothawade, Omar A. Alanis z Farmaceutické fakulty při Centru zdravotních věd Severotexaské univerzity (UNTHSC).

Záznam přidán 28. října 2024

Siri

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s ochranou soukromí byl vyřešen přesunutím citlivých dat na bezpečnější místo.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) a LFY (@secsys) z Univerzity Fu-tan

System Settings

Dopad: Aplikaci se může podařit číst libovolné soubory.

Popis: Problém se zpracováváním cest byl vyřešen vylepšením ověřování.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Dopad: Na zařízeních spravovaných řešením MDM může aplikace obejít určité předvolby ochrany osobních údajů.

Popis: Problém byl vyřešen odebráním zranitelného kódu.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) ze společnosti Microsoft

Transparency

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-40859: Csaba Fitzl (@theevilbit) ze společnosti Kandji

Záznam aktualizován 28. října 2024

Vim

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

CVE-2024-41957

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k univerzálnímu skriptování napříč weby.

Popis: Problém byl vyřešen vylepšením správy stavů.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Dopad: Návštěva škodlivého webu může vést ke zfalšování řádku s adresou.

Popis: Problém byl vyřešen vylepšením uživatelského rozhraní.

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh a YoKo Kho (@yokoacc) ze společnosti HakTrak

WebKit

Dopad: Škodlivý web může získat data napříč původy.

Popis: V prvcích iframe existoval problém se získáváním dat napříč původy. Problém byl vyřešen vylepšením sledování bezpečnostních původů.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, manažer týmu kybernetické bezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)

Wi-Fi

Dopad: Uživateli bez oprávnění se může podařit změnit omezená nastavení sítě.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Dopad: Aplikaci se může podařit číst citlivé polohové informace.

Popis: Problém byl vyřešen vylepšením mazání citlivých údajů.

CVE-2024-44134

Wi-Fi

Dopad: Útočník může vynutit odpojení zařízení ze zabezpečené sítě.

Popis: Problém s integritou byl vyřešen službou Beacon Protection.

CVE-2024-40856: Domien Schepers

WindowServer

Dopad: Došlo k problému, kdy proces může zachytit obsah obrazovky bez souhlasu uživatele.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44189: Tim Clem

WindowServer

Dopad: Aplikaci se může podařit obejít určité předvolby soukromí.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-44208: anonymní výzkumník

Záznam přidán 28. října 2024

XProtect

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením ověřování proměnných prostředí.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Další poděkování

Admin Framework

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) ze společnosti Kandji.

Záznam aktualizován 28. října 2024

Airport

Poděkování za pomoc zaslouží David Dudok de Wit.

Záznam aktualizován 28. října 2024

APFS

Poděkování za pomoc zaslouží Georgi Valkov z týmu httpstorm.com.

App Store

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) ze společnosti Kandji.

Záznam aktualizován 28. října 2024

AppKit

Poděkování za pomoc zaslouží @08Tc3wBB z týmu Jamf.

Apple Neural Engine

Poděkování za pomoc zaslouží Jiaxun Zhu (@svnswords) a Minghao Lin (@Y1nKoc).

Automator

Poděkování za pomoc zaslouží Koh M. Nakagawa (@tsunek0h).

Core Bluetooth

Poděkování za pomoc zaslouží Nicholas C. ze společnosti Onymos Inc. (onymos.com).

Core Services

Poděkování za pomoc zaslouží Cristian Dinca z Národní střední školy informatiky „Tudor Vianu“, Rumunsko, Kirin (@Pwnrin) a 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, Zhongquan Li (@Guluisacat).

CUPS

Poděkování za pomoc zaslouží moein abas.

Záznam přidán 28. října 2024

Disk Utility

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) ze společnosti Kandji.

dyld

Poděkování za pomoc zaslouží Pietro Francesco Tirenna, Davide Silvetti a Abdel Adim Oisfi z týmu (shielder.com).

Záznam přidán 28. října 2024

FileProvider

Poděkování za pomoc zaslouží Kirin (@Pwnrin).

Foundation

Poděkování za pomoc zaslouží Ostorlab.

Kernel

Poděkování za pomoc zaslouží Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) ze společnosti PixiePoint Security.

libxpc

Poděkování za pomoc zaslouží Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu).

LLVM

Poděkování za pomoc zaslouží Victor Duta z Amsterdamské univerzity, Fabio Pagani z Kalifornské univerzity, Santa Barbara, Cristiano Giuffrida z Amsterdamské univerzity, Marius Muench a Fabian Freyer.

Maps

Poděkování za pomoc zaslouží Kirin (@Pwnrin).

Music

Poděkování za pomoc zaslouží Khiem Tran z týmu databaselog.com/khiemtran, K宝 a LFY@secsys z univerzity Fu-tan, Yiğit Can YILMAZ (@yilmazcanyigit).

Notification Center

Poděkování za pomoc zaslouží Kirin (@Pwnrin) a LFYSec.

Záznam přidán 28. října 2024

Notifications

Poděkování za pomoc zaslouží anonymní výzkumník.

PackageKit

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) ze společnosti Kandji, Mickey Jin (@patch1t) a Zhongquan Li (@Guluisacat).

Záznam aktualizován 28. října 2024

Passwords

Poděkování za pomoc zaslouží Richard Hyunho Im (@r1cheeta).

Photos

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology, Bhopal v Indii, Harsh Tyagi, Leandro Chaves.

Podcasts

Poděkování za pomoc zaslouží Yiğit Can YILMAZ (@yilmazcanyigit).

Quick Look

Poděkování za pomoc zaslouží Zhipeng Huo (@R3dF09) ze společnosti Tencent Security Xuanwu Lab (xlab.tencent.com).

Safari

Poděkování za pomoc zaslouží Hafiizh a YoKo Kho (@yokoacc) ze společnosti HakTrak, Junsung Lee, Shaheen Fazim.

Sandbox

Poděkování za pomoc zaslouží Cristian Dinca z Národní střední školy informatiky „Tudor Vianu“, Rumunsko.

Záznam aktualizován 28. října 2024

Screen Capture

Poděkování za pomoc zaslouží Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) a anonymní výzkumník.

Shortcuts

Poděkování za pomoc zaslouží Cristian Dinca z Národní střední školy informatiky „Tudor Vianu“, Rumunsko, Jacob Braun a anonymní výzkumník

Siri

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii, Rohan Paudel a anonymní výzkumník.

Záznam aktualizován 28. října 2024

SystemMigration

Poděkování za pomoc zaslouží Jamey Wicklund, Kevin Jansen a anonymní výzkumník.

TCC

Poděkování za pomoc zaslouží Noah Gregory (wts.dev), Vaibhav Prajapati.

UIKit

Poděkování za pomoc zaslouží Andr.Ess.

Voice Memos

Poděkování za pomoc zaslouží Lisa B.

WebKit

Poděkování za pomoc zaslouží Avi Lumelsky ze společnosti Oligo Security, Uri Katz ze společnosti Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar) a Numan Türle – Rıza Sabuncu.

Záznam aktualizován 28. října 2024

Wi-Fi

Poděkování za pomoc zaslouží Antonio Zekic (@antoniozekic) a ant4g0nist, Tim Michaud (@TimGMichaud) ze společnosti Moveworks.ai.

WindowServer

Poděkování za pomoc zaslouží Felix Kratz.

Záznam aktualizován 28. října 2024

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: 04. listopadu 2024