Tietoja macOS Sequoia 15:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sequoia 15:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

macOS Sequoia 15

Accounts

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44129

Accounts

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallinen appi saattoi pystyä muuttamaan verkkoasetuksia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

APFS

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallinen appi, jolla on pääkäyttöoikeudet, saattoi pystyä muokkaamaan järjestelmätiedostojen sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2024-44130

App Intents

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia tietoja, jotka kirjataan, kun toisen apin käynnistäminen pikakomennolla epäonnistuu.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: muistinalustusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44154: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppleGraphicsControl

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-40845: Pwn2car yhteistyössä Trend Micro Zero Day Initiativen kanssa

CVE-2024-40846: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppleMobileFileIntegrity

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: Appi saattoi pystyä ohittamaan yksityisyysasetukset.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: hyökkääjä saattoi pystyä lukemaan arkaluonteisia tietoja.

Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: kirjaston injektointiin liittyvä ongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44168: Claudio Bozzato ja Francesco Benvenuto / Cisco Talos

AppleVA

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-27860: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2024-27861: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppleVA

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-40841: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppSandbox

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: kameralaajennus saattoi pystyä käyttämään internetiä.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-27795: Halle Winkler (@hallewinkler, Politepix)

AppSandbox

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saatto pystyä käyttämään eristetyssä käyttöympäristössä olevia suojattuja tiedostoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44126: Holger Fuhrmannek

Automator

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: Automator Quick Action ‑työnkulku saattoi pystyä ohittamaan Gatekeeperin.

Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.

CVE-2024-44128: Anton Boegler

bless

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: Haitta-arkiston purkaminen saattaa sallia hyökkääjälle satunnaistiedostojen kirjoittamisen.

Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä tallentamaan näytön ilman ilmaisinta.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27869: nimetön tutkija

Control Center

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: mikrofonin ja kameran käytön yksityisyysilmaisinten attribuuttitiedot saattoivat olla virheelliset.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: logiikkaongelma on korjattu parantamalla tiedostojen käsittelyä.

CVE-2024-44146: nimetön tutkija

Core Data

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

CUPS

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2023-4504

DiskArbitration

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: eristetty appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-40855: Csaba Fitzl (@theevilbit, Kandji)

Disk Images

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tiedostoattribuuttien tarkistamista.

CVE-2024-44148: nimetön tutkija

Dock

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2024-44177: nimetön tutkija

FileProvider

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2024-44131: @08Tc3wBB (Jamf)

Game Center

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tiedostojen käyttöön liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä tarkastelemaan käyttäjän Kuvat-kirjastoa.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-27880: Junsung Lee

ImageIO

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-44176: dw0r ZeroPointer Labista yhteistyössä Trend Micron Zero Day Initiativen kanssa, nimetön tutkija

Installer

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallisen tekstuurin käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44160: Michael DePlante (@izobashi) / Trend Micron Zero Day Initiative

Intel Graphics Driver

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallisen tekstuurin käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-44161: Michael DePlante (@izobashi) / Trend Micron Zero Day Initiative

IOSurfaceAccelerator

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44169: Antonio Zekić

Kernel

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: verkkoliikenne saattoi vuotaa VPN-tunnelin ulkopuolelle.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-44165: Andrew Lytvynov

Kernel

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2024-44175: Csaba Fitzl (@theevilbit, Kandji)

Kernel

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi saada Bluetoothin käyttöön luvattomasti.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ja Mathy Vanhoef

LaunchServices

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: Ohjelma saattoi pystyä poistumaan eristyksestään.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-44122: nimetön tutkija

libxml2

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)

Mail Accounts

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-44181: Kirin(@Pwnrin) ja LFY(@secsys) Fudan-yliopistosta

mDNSResponder

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.

CVE-2024-44183: Olivier Levon

Model I/O

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2023-5841

Music

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-27858: Meng Zhang (鲸落, NorthSea), Csaba Fitzl (@theevilbit, Kandji)

Notes

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-44167: ajajfxhj

Notification Center

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallinen appi saattoi pystyä käyttämään käyttäjän laiteilmoituksia.

Kuvaus: tietosuojaongelma on ratkaistu siirtämällä arkaluonteiset tiedot suojattuun sijaintiin.

CVE-2024-40838: Brian McNulty, Cristian Dinca ("Tudor Vianu" National High School of Computer Science, Romania), Vaibhav Prajapati

NSColor

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2024-44186: nimetön tutkija

OpenSSH

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: OpenSSH:ssa oli useita ongelmia.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-39894

PackageKit

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: salaamaton dokumentti saatettiin kirjoittaa tilapäiseen tiedostoon tulostuksen esikatselua käytettäessä.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-40826: nimetön tutkija

Quick Look

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44149: Wojciech Regula (SecuRing, wojciechregula.blog), Csaba Fitzl (@theevilbit, Kandji)

Safari

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: Haitallinen verkkosisältö saattoi rikkoa iframe-eristyskäytännön.

Kuvaus: Mukautetun URL-mallin käsittelyongelma korjattiin parantamalla annettujen tietojen vahvistusta.

CVE-2024-44155: Narendra Bhati (kyberturvallisuuden johtaja, Suma Soft Pvt. Ltd, Pune, Intia)

Sandbox

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: Haittaohjelma saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haittaohjelma saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä tarkastelemaan käyttäjän Kuvat-kirjastoa.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula (SecuRing, wojciechregula.blog), Kirin (@Pwnrin, NorthSea)

SceneKit

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.

CVE-2024-44144: 냥냥

Screen Capture

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy, saattoi pystyä jakamaan kohteita lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44137: Halle Winkler (Politepix, @hallewinkler)

Screen Capture

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: hyökkääjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44174: Vivek Dhar

Security

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallinen appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään näppäimistön syöttötietoja ja sijaintitietoja ilman käyttäjän suostumusta.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44123: Wojciech Regula (SecuRing, wojciechregula.blog)

Security Initialization

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), nimetön tutkija

Shortcuts

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: oikotie saattoi lähettää arkaluontoisia käyttäjätietoja ilman suostumusta.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä tarkkailemaan käyttäjälle Pikakomennot-apin kautta näytettäviä tietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-40844: Kirin (@Pwnrin) ja luckyu (@uuulucky) / NorthSea

Sidecar

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy macOS-laitteeseen, jossa Sidecar oli käytössä, saattoi pystyä ohittamaan lukitun näytön.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44145: Om Kothawade, Omar A. Alanis (UNTHSC College of Pharmacy)

Siri

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu siirtämällä arkaluontoiset tiedot entistä turvallisempaan sijaintiin.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) ja LFY (@secsys) Fudan-yliopistosta

System Settings

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä ohittamaan tietyt yksityisyysasetukset MDM-hallinnassa olevissa laitteissa.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft)

Transparency

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40859: Csaba Fitzl (@theevilbit, Kandji)

Vim

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-41957

WebKit

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40857: Ron Masas

WebKit

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: ongelma ratkaistiin parantamalla käyttöliittymää.

CVE-2024-40866: Hafiizh ja YoKo Kho (@yokoacc) (HakTrak)

WebKit

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: iFrame-elementeissä esiintyi eri alkuperiin liittyvä ongelma. Tämä on ratkaistu parantamalla suojauksen lähteiden seurantaa.

CVE-2024-44187: Narendra Bhati (Manager – Cyber Security, Suma Soft Pvt. Ltd, Pune, Intia)

Wi-Fi

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: käyttäjä saattoi pystyä muuttamaan rajoitettuja verkkoasetuksia ilman asianmukaisia käyttöoikeuksia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja..

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2024-44134

Wi-Fi

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: hyökkääjä saattoi pystyä pakottamaan laitteen katkaisemaan yhteyden turvalliseen verkkoon.

Kuvaus: eheysongelma ratkaistiin Beacon Protectionin avulla.

CVE-2024-40856: Domien Schepers

WindowServer

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: prosessi saattoi logiikkaongelman vuoksi pystyä tallentamaan näytön sisällön ilman käyttäjän suostumusta.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44189: Tim Clem

WindowServer

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44208: nimetön tutkija

XProtect

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma korjattiin parantamalla ympäristömuuttujien validointia.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2020 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017 ja uudemmat)

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Kiitokset

Admin Framework

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.

Airport

Haluamme kiittää avusta David Dudok de Witiä.

APFS

Haluamme kiittää Georgi Valkovia (httpstorm.com) hänen antamastaan avusta.

App Store

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.

AppKit

Haluamme kiittää nimimerkkiä @08Tc3wBB (Jamf) hänen antamastaan avusta.

Apple Neural Engine

Haluamme kiittää Jiaxun Zhuta (@svnswords) ja Minghao Liniä (@Y1nKoc) heidän antamastaan avusta.

Automator

Haluamme kiittää Koh M. Nakagawaa (@tsunek0h) hänen antamastaan avusta.

Core Bluetooth

Haluamme kiittää Nicholas C:tä (Onymos Inc, onymos.com) hänen antamastaan avusta.

Core Services

Haluamme kiittää Cristian Dincaa ("Tudor Vianu" National High School of Computer Science, Romania), Kiriniä (@Pwnrin), nimimerkkiä 7feilee, Snoolie Keffaberiä (@0xilis), Tal Lossosia ja Zhongquan Li:tä (@Guluisacat) heidän antamastaan avusta.

CUPS

Haluamme kiittää moein abasia hänen antamastaan avusta.

Disk Utility

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.

dyld

Haluamme kiittää Pietro Francesco Tirennaa, Davide Silvettiä ja Abdel Adim Oisfia (Shielder, shielder.com) heidän antamastaan avusta.

FileProvider

Haluamme kiittää avusta Kiriniä (@Pwnrin).

Foundation

Haluamme kiittää Ostorlabia heidän antamastaan avusta.

Kernel

Haluamme kiittää Braxton Andersonia ja Fakhri Zulkiflia (@d0lph1n98, PixiePoint Security) heidän antamastaan avusta.

libxpc

Haluamme kiittää Rasmus Steniä (F-Secure, Mastodon: @pajp@blog.dll.nu) hänen antamastaan avusta.

LLVM

Haluamme kiittää Victor Dutaa (Universiteit Amsterdam), Fabio Pagania (University of California, Santa Barbara), Cristiano Giuffridaa (Universiteit Amsterdam), Marius Muenchia ja Fabian Freyeriä heidän antamastaan avusta.

Maps

Haluamme kiittää avusta Kiriniä (@Pwnrin).

Music

Haluamme kiittää Khiem Trania (databaselog.com/khiemtran), nimimerkkejä K宝 ja LFY@secsys (Fudan University) ja Yiğit Can YILMAZia (@yilmazcanyigit) heidän antamastaan avusta.

Notification Center

Haluamme kiittää Kirinia (@Pwnrin) ja LFYSeciä heidän antamastaan avusta.

Notifications

Haluamme kiittää avusta nimetöntä tutkijaa.

PackageKit

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji), Mickey Jiniä (@patch1t) ja Zhongquan Litä (@Guluisacat) heidän antamastaan avusta.

Passwords

Haluamme kiittää Richard Hyunho Imiä (@r1cheeta) hänen antamastaan avusta.

Photos

Haluamme kiittää Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia), Harsh Tyagia ja Leandro Chavesia heidän antamastaan avusta.

Podcasts

Haluamme kiittää Yiğit Can YILMAZia (@yilmazcanyigit) hänen avustaan.

Quick Look

Haluamme kiittää Zhipeng Huota (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com) hänen antamastaan avusta.

Safari

Haluamme kiittää HakTrakin Hafiizhia YoKo Khota (@yokoacc), Junsung Leetä ja Shaheen Fazimia heidän antamastaan avusta.

Sandbox

Haluamme kiittää avusta Cristian Dincaa (Tudor Vianu National High School of Computer Science, Romania).

Screen Capture

Haluamme kiittää Joshua Jewettiä (@JoshJewett33), Yiğit Can YILMAZia (@yilmazcanyigit) ja nimetöntä tutkijaa heidän antamastaan avusta.

Shortcuts

Haluamme kiittää Cristian Dincaa ("Tudor Vianu" National High School of Computer Science, Romania), Jacob Braunia ja nimetöntä tutkijaa heidän antamastaan avusta.

Siri

Haluamme kiittää Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia), Rohan Paudelia ja nimetöntä tutkijaa heidän antamastaan avusta.

SystemMigration

Haluamme kiittää Jamey Wicklundia, Kevin Jansenia ja nimetöntä tutkijaa heidän antamastaan avusta.

TCC

Haluamme kiittää Noah Gregorya (wts.dev) ja Vaibhav Prajapatia heidän antamastaan avusta.

UIKit

Haluamme kiittää nimimerkkiä Andr.Ess hänen antamastaan avusta.

Voice Memos

Haluamme kiittää Lisa B:tä hänen antamastaan avusta.

WebKit

Haluamme kiittää Avi Lumelskya (Oligo Security), Uri Katzia (Oligo Security), Braylonia (@softwarescool), Eli Greytä (eligrey.com), Johan Carlssonia (joaxcar), Numan Türlea ja Rıza Sabuncua heidän antamastaan avusta.

Wi-Fi

Haluamme kiittää Antonio Zekiciä (@antoniozekic), nimimerkkiä ant4g0nist ja Tim Michaudia (@TimGMichaud, Moveworks.ai) heidän antamastaan avusta.

WindowServer

Haluamme kiittää Felix Kratzia hänen antamastaan avusta.