À propos des correctifs de sécurité de macOS Sequoia 15

Ce document décrit les correctifs de sécurité de macOS Sequoia 15.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

macOS Sequoia 15

Publié le 16 septembre 2024

Accounts

Disponible pour : Mac Studio (2022 et modèles ultérieurs), iMac (2019 et modèles ultérieurs), Mac Pro (2019 et modèles ultérieurs), Mac Mini (2018 et modèles ultérieurs), MacBook Air (2020 et modèles ultérieurs), MacBook Pro (2018 et modèles ultérieurs) et iMac Pro (2017 et modèles ultérieurs)

Conséquence : une app peut être en mesure de divulguer les renseignements sensibles de l’utilisateur.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-44129

Accounts

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : le problème a été résolu par une meilleure logique des autorisations.

CVE-2024-44153 : Mickey Jin (@patch1t)

Accounts

Conséquence : une app peut être en mesure d’accéder aux données protégées de l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-44188 : Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

Conséquence : une app malveillante est susceptible de modifier les paramètres du réseau

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-40792 : Yiğit Can YILMAZ (@yilmazcanyigit)

Entrée ajoutée le 28 octobre 2024

APFS

Conséquence : une app malveillante possédant des privilèges racine pourrait être en mesure de modifier le contenu des fichiers système.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-40825 : Pedro Tôrres (@t0rr3sp3dr0)

APNs

Conséquence : une app avec des privilèges racines peut être en mesure d’accéder à des informations confidentielles.

Description : ce problème a été résolu par une meilleure protection des données.

CVE-2024-44130

App Intents

Conséquence : une app peut être en mesure d’accéder aux données sensibles enregistrées lorsqu’un raccourci ne parvient pas à lancer une autre application.

Description : ce problème a été résolu par une amélioration de la rédaction des renseignements confidentiels.

CVE-2024-44182 : Kirin (@Pwnrin)

AppleGraphicsControl

Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : un problème d’initialisation de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2024-44154 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

AppleGraphicsControl

Conséquence : le traitement d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une app.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2024-40845 : Pwn2car en collaboration avec Trend Micro Zero Day Initiative

CVE-2024-40846 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

AppleMobileFileIntegrity

Conséquence : une app peut être en mesure de contourner les préférences en matière de confidentialité.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-44164 : Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Conséquence : une app peut être en mesure d’accéder aux données protégées de l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-40837 : Kirin (@Pwnrin)

AppleMobileFileIntegrity

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : le problème a été résolu grâce à des restrictions de signature de code supplémentaires.

CVE-2024-40847 : Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Conséquence : un attaquant peut être en mesure de lire des informations confidentielles.

Description : un problème de rétrogradation a été résolu grâce à des restrictions de signature de code supplémentaires.

CVE-2024-40848 : Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.

Description : un problème d’injection de bibliothèque a été résolu grâce à des restrictions supplémentaires.

CVE-2024-44168 : Claudio Bozzato et Francesco Benvenuto de Cisco Talos

AppleVA

Conséquence : une app peut être en mesure de lire la mémoire restreinte.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2024-27860 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

CVE-2024-27861 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

AppleVA

Conséquence : le traitement d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une app.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2024-40841 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

AppSandbox

Conséquence : une extension de caméra pourrait être en mesure d’accéder à l’Internet.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-27795 : Halle Winkler et Politepix @hallewinkler

AppSandbox

Conséquence : une application peut être en mesure d’accéder à des fichiers protégés dans un conteneur AppSandbox.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-44135 : Mickey Jin (@patch1t)

ArchiveService

Conséquence : une app peut être en mesure de sortir de son bac à sable.

Description : ce problème a été résolu par une meilleure gestion des liens symboliques.

CVE-2024-44132 : Mickey Jin (@patch1t)

ARKit

Conséquence : le traitement d’un fichier malveillant peut entraîner une corruption de tas.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-44126 : Holger Fuhrmannek

Entrée ajoutée le 28 octobre 2024

Automator

Conséquence : un processus d’Action Rapide d’Automator peut être en mesure d’outrepasser Gatekeeper.

Description : ce problème a été résolu par l’ajout d’une invite supplémentaire pour le consentement de l’utilisateur.

CVE-2024-44128 : Anton Boegler

bless

Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-44151 : Mickey Jin (@patch1t)

Compression

Conséquence : la décompression d’une archive malveillante peut permettre à un attaquant d’écrire des fichiers arbitraires.

Description : un problème de concurrence a été résolu par un meilleur verrouillage.

CVE-2024-27876 : Snoolie Keffaber (@0xilis)

Control Center

Conséquence : une app pourrait être en mesure d’enregistrer l’écran sans indicateur.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-27869 : un chercheur anonyme

Control Center

Conséquence : les indicateurs de confidentialité pour l’accès au microphone ou à la caméra peuvent être attribués de manière incorrecte.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2024-27875 : Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Conséquence : une app peut être en mesure de sortir de son bac à sable.

Description : un problème de logique a été résolu par une meilleure gestion des fichiers.

CVE-2024-44146 : un chercheur anonyme

Core Data

Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.

Description : un problème de confidentialité a été résolu grâce à l’amélioration de la définition des données personnelles pour la saisie.

CVE-2024-27849 : Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

Entrée ajoutée le 28 octobre 2024

CUPS

Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : il s’agit d’une vulnérabilité dans un code source ouvert et le logiciel Apple figure parmi les projets concernés. L’identifiant CVE-ID a été attribué par un tiers. Apprenez-en davantage sur le problème et l’identifiant CVE-ID sur le site cve.org.

CVE-2023-4504

DiskArbitration

Conséquence : une application en bac à sable doit être en mesure d’accéder aux données sensibles de l’utilisateur

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-40855 : Csaba Fitzl (@theevilbit) de Kandji

Entrée ajoutée le 28 octobre 2024

Disk Images

Conséquence : une app peut être en mesure de sortir de son bac à sable.

Description : ce problème a été résolu par une meilleure validation des attributs de fichiers.

CVE-2024-44148 : un chercheur anonyme

Dock

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de confidentialité a été résolu en retirant les données sensibles.

CVE-2024-44177 : un chercheur anonyme

FileProvider

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : ce problème a été résolu par une meilleure validation des liens symboliques.

CVE-2024-44131 : @08Tc3wBB de Jamf

Game Center

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème d’accès aux fichiers a été résolu par une meilleure validation des entrées.

CVE-2024-40850 : Denis Tokarev (@illusionofcha0s)

Image Capture

Conséquence : une app peut être en mesure d’accéder à la photothèque d’un utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-40831 : Mickey Jin (@patch1t)

ImageIO

Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2024-27880 : Junsung Lee

ImageIO

Conséquence : le traitement d’une image peut entraîner un déni de service.

Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.

CVE-2024-44176 : dw0r de ZeroPointer Lab travaillant avec Trend Micro Zero Day Initiative, un chercheur anonyme.

Installer

Conséquence : une app peut être en mesure d’accéder à des privilèges liés à la racine.

Description : ce problème a été résolu par de meilleures vérifications.

CVE-2024-40861 : Mickey Jin (@patch1t)

Intel Graphics Driver

Conséquence : le traitement d’une texture malveillante peut entraîner la fermeture inopinée d’une app.

Description : un problème de dépassement de la mémoire tampon a été résolu par une meilleure gestion de la mémoire.

CVE-2024-44160 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

Intel Graphics Driver

Conséquence : le traitement d’une texture malveillante peut entraîner la fermeture inopinée d’une app.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2024-44161 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

IOSurfaceAccelerator

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2024-44169 : Antonio Zekić

Kernel

Conséquence : le trafic réseau peut fuir à l’extérieur du tunnel VPN.

Description : un problème de logique a été résolu par de meilleures vérifications.

CVE-2024-44165 : Andrew Lytvynov

Kernel

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : ce problème a été résolu par une meilleure validation des liens symboliques.

CVE-2024-44175 : Csaba Fitzl (@theevilbit) de Kandji

Entrée ajoutée le 28 octobre 2024

Kernel

Conséquence : une app peut obtenir un accès non autorisé à Bluetooth.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2024-44191 : Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) et Mathy Vanhoef

LaunchServices

Conséquence : une app peut être en mesure de sortir de son bac à sable.

Description : un problème de logique a été résolu par de meilleures vérifications.

CVE-2024-44122 : un chercheur anonyme

Entrée ajoutée le 28 octobre 2024

libxml 2

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.

CVE-2024-44198 : OSS-Fuzz et Ned Williamson de Google Project Zero

Mail Accounts

Conséquence : une app peut être en mesure d’accéder aux données des contacts de l’utilisateur.

Description : un problème de confidentialité a été résolu grâce à l’amélioration de la définition des données personnelles pour la saisie.

CVE-2024-40791 : Rodolphe BRUNETTI (@eisw0lf)

Maps

Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.

Description : un problème de confidentialité a été résolu avec une meilleure gestion des dossiers temporaires.

CVE-2024-44181 : Kirin(@Pwnrin) et LFY(@secsys) de Fudan University

mDNSResponder

Conséquence : une app peut être à l’origine d’un déni de service.

Description : une erreur de logique a été résolue par une gestion améliorée des erreurs.

CVE-2024-44183 : Olivier Levon

Model I/O

Conséquence : le traitement d’une image malveillante peut entraîner un déni de service.

CVE-2023-5841

Music

Conséquence : une app peut être en mesure d’accéder aux données protégées de l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-27858 : Meng Zhang (鲸落) of NorthSea, Csaba Fitzl (@theevilbit) de Kandji

Entrée mise à jour le 28 octobre 2024

Notes

Conséquence : une app peut être en mesure d’écraser des fichiers arbitraires.

Description : ce problème a été résolu par la suppression du code vulnérable.

CVE-2024-44167 : ajajfxhj

Notification Center

Conséquence : une app malveillante pourrait être en mesure d’accéder aux notifications de l’appareil de l’utilisateur.

Description : un problème de confidentialité a été résolu en déplaçant les données sensibles vers un emplacement protégé.

CVE-2024-40838 : Brian McNulty, Cristian Dinca de l’École secondaire nationale d’informatique Tudor Vianu, Roumanie, Vaibhav Prajapati

NSColor

Conséquence : une app peut être en mesure d’accéder aux données protégées de l’utilisateur.

Description : un problème d’accès a été résolu par des restrictions supplémentaires de bac à sable.

CVE-2024-44186 : un chercheur anonyme

OpenSSH

Conséquence : OpenSSH présentait plusieurs problèmes.

CVE-2024-39894

PackageKit

Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.

Description : ce problème a été résolu par une meilleure validation des liens symboliques.

CVE-2024-44178 : Mickey Jin (@patch1t)

Printing

Conséquence : un document non chiffré peut être écrit dans un fichier temporaire lors de l’utilisation de l’aperçu avant impression.

Description : un problème de confidentialité a été résolu avec une meilleure gestion des fichiers.

CVE-2024-40826 : un chercheur anonyme

Quick Look

Conséquence : une app peut être en mesure d’accéder aux données protégées de l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-44149 : Wojciech Regula de SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) de Kandji

Entrée mise à jour le 28 octobre 2024

Safari

Conséquence : la consultation d’un site web malveillant peut entraîner une utilisation détournée de l’interface utilisateur.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2024-40797 : Rifa’i Rejal Maynando

Safari

Conséquence : un contenu Web malveillant peut enfreindre la politique de sandboxing des éléments iframe.

Description : un problème de gestion d’un schéma d’URL personnalisée a été résolu par une meilleure validation des entrées.

CVE-2024-44155 : Narendra Bhati, Manager de Cyber Security à Suma Soft Pvt. Ltd, Pune (Inde)

Entrée ajoutée le 28 octobre 2024

Sandbox

Conséquence : une app malveillante peut divulguer des informations utilisateur sensibles.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-44125 : Zhongquan Li (@Guluisacat)

Sandbox

Conséquence : une app malveillante pourrait être en mesure d’accéder à des informations confidentielles.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-44163 : Zhongquan Li (@Guluisacat)

Sandbox

Conséquence : une app peut être en mesure d’accéder à la photothèque d’un utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-44203 : Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula de SecuRing (wojciechregula.blog), Kirin (@Pwnrin) de NorthSea

Entrée ajoutée le 28 octobre 2024

SceneKit

Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : un dépassement de la mémoire tampon a été résolu par une meilleure validation de la taille.

CVE-2024-44144 : 냥냥

Entrée ajoutée le 28 octobre 2024

Screen Capture

Conséquence : un attaquant bénéficiant d’un accès physique peut être en mesure de partager des éléments depuis l’écran de verrouillage.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-44137 : Halle Winkler, Politepix @hallewinkler

Entrée ajoutée le 28 octobre 2024

Screen Capture

Conséquence : un attaquant peut être en mesure d’afficher du contenu restreint à partir de l’écran de verrouillage.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-44174 : Vivek Dhar

Entrée ajoutée le 28 octobre 2024

Security

Conséquence : une app malveillante possédant des privilèges racine pourrait être en mesure d’accéder au clavier et aux informations de localisation sans le consentement de l’utilisateur

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-44123 : Wojciech Regula de SecuRing (wojciechregula.blog)

Entrée ajoutée le 28 octobre 2024

Security Initialization

Conséquence : une app peut être en mesure d’accéder aux données protégées de l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-40801 : Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), un chercheur anonyme

Shortcuts

Conséquence : une app peut être en mesure d’accéder aux données protégées de l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-40837 : Kirin (@Pwnrin)

Shortcuts

Conséquence : un raccourci peut générer des données utilisateur sensibles sans consentement.

Description : ce problème a été résolu par une amélioration de la rédaction des renseignements confidentiels.

CVE-2024-44158 : Kirin (@Pwnrin)

Shortcuts

Conséquence : une app peut être en mesure d’observer les données affichées à l’utilisateur par Raccourcis

Description : un problème de confidentialité a été résolu par une meilleure gestion des fichiers temporaires.

CVE-2024-40844 : Kirin (@Pwnrin) et luckyu (@uuulucky) de NorthSea

Sidecar

Conséquence : un attaquant avec un accès physique à un appareil macOS avec Sidecar peut être en mesure de contourner l’écran de verrouillage.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2024-44145 : Om Kothawade, Omar A. Alanis du UNTHSC College of Pharmacy

Entrée ajoutée le 28 octobre 2024

Siri

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de confidentialité a été résolu en déplaçant des données sensibles vers un emplacement plus sécurisé.

CVE-2024-44170 : K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech) et Rodolphe BRUNETTI (@eisw0lf)

sudo

Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.

Description : un problème de logique a été résolu par de meilleures vérifications.

CVE-2024-40860 : Arsenii Kostromin (0x3c3e)

System Settings

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de confidentialité a été résolu grâce à l’amélioration de la définition des données personnelles pour la saisie.

CVE-2024-44152 : Kirin (@Pwnrin)

CVE-2024-44166 : Kirin (@Pwnrin) et LFY (@secsys) de Fudan University

System Settings

Conséquence : une app peut être en mesure de lire des fichiers arbitraires.

Description : un problème de gestion des chemins a été résolu par une meilleure validation.

CVE-2024-44190 : Rodolphe BRUNETTI (@eisw0lf)

TCC

Conséquence : sur les appareils gérés par la GAM, une app peut être en mesure de contourner certaines préférences de confidentialité.

Description : ce problème a été résolu par la suppression du code vulnérable.

CVE-2024-44133 : Jonathan Bar Or (@yo_yo_yo_jbo) de Microsoft

Transparency

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-44184 : Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-40859 : Csaba Fitzl (@theevilbit) de Kandji

Entrée ajoutée le 28 octobre 2024

Vim

Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

CVE-2024-41957

WebKit

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution universelle de scripts intersites.

Description : ce problème a été résolu par une meilleure gestion des états.

WebKit Bugzilla : 268724

CVE-2024-40857 : Ron Masas

WebKit

Conséquence : la consultation d’un site web malveillant peut entraîner une utilisation détournée de la barre d’adresse.

Description : ce problème a été résolu par une meilleure gestion de l’interface utilisateur.

WebKit Bugzilla : 279451

CVE-2024-40866 : Hafiizh et YoKo Kho (@yokoacc) de HakTrak

WebKit

Conséquence : un site Web malveillant peut extraire des données provenant d’origines multiples

Description : un problème d’origines multiples existait au niveau des éléments « iframe ». Ce problème a été résolu par l’amélioration de la fonction de suivi des origines de sécurité.

WebKit Bugzilla : 279452

CVE-2024-44187 : Narendra Bhati, directeur de la cybersécurité chez Suma Soft Pvt. Ltd, Pune (Inde)

Wi-Fi

Conséquence : un utilisateur non privilégié peut être en mesure de modifier des réglages réseau restreints.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-40770 : Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Conséquence : une app peut être à l’origine d’un déni de service.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2024-23237 : Charly Suchanek

Wi-Fi

Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.

Description : ce problème a été résolu par une amélioration de la rédaction des renseignements confidentiels.

CVE-2024-44134

Wi-Fi

Conséquence : un attaquant peut être en mesure de forcer un appareil à se déconnecter d’un réseau sécurisé.

Description : un problème d’intégrité a été résolu avec la protection des balises.

CVE-2024-40856 : Domien Schepers

WindowServer

Conséquence : un problème de logique permettait à un processus de capturer le contenu de l’écran sans le consentement de l’utilisateur.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-44189 : Tim Clem

WindowServer

Conséquence : une app peut être en mesure de contourner certaines préférences de confidentialité.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2024-44208 : un chercheur anonyme

Entrée ajoutée le 28 octobre 2024

XProtect

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème a été résolu par une meilleure validation des variables d’environnement.

CVE-2024-40842 : Gergely Kalman (@gergely_kalman)

XProtect

Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.

Description : ce problème a été résolu par de meilleures vérifications.

CVE-2024-40843 : Koh M. Nakagawa (@tsunek0h)

Remerciements supplémentaires

Admin Framework

Nous tenons à remercier Csaba Fitzl (@theevilbit) de Kandji pour son aide.

Entrée mise à jour le 28 octobre 2024

Airport

Nous tenons à remercier David Dudok de Wit pour son aide.

Entrée mise à jour le 28 octobre 2024

APFS

Nous tenons à remercier Georgi Valkov de httpstorm.com pour son aide.

App Store

Nous tenons à remercier Csaba Fitzl (@theevilbit) de Kandji pour son aide.

Entrée mise à jour le 28 octobre 2024

AppKit

Nous tenons à remercier @08Tc3wBB de Jamf pour son aide.

Apple Neural Engine

Nous tenons à remercier Jiaxun Zhu (@svnswords) et Minghao Lin (@Y1nKoc) pour leur aide.

Automator

Nous tenons à remercier Koh M. Nakagawa (@tsunek0h) pour son aide.

Core Bluetooth

Nous tenons à remercier Nicholas C. d’Onymos Inc. (onymos.com) pour son aide.

Core Services

Nous tenons à remercier Cristian Dinca de l’École secondaire nationale d’informatique Tudor Vianu, Roumanie, Kirin (@Pwnrin), 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos et Zhongquan Li (@Guluisacat) pour leur aide.

CUPS

Nous tenons à remercier moein pour leur aide.

Entrée ajoutée le 28 octobre 2024

Disk Utility

Nous tenons à remercier Csaba Fitzl (@theevilbit) de Kandji pour son aide.

dyld

Nous tenons à remercier Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi de Shielder (shielder.com) pour leur aide.

Entrée ajoutée le 28 octobre 2024

FileProvider

Nous tenons à remercier Kirin (@Pwnrin) pour son aide.

Foundation

Nous tenons à remercier Ostorlab pour son aide.

Kernel

Nous tenons à remercier Braxton Anderson et Fakhri Zulkifli (@d0lph1n98) de PixiePoint Security pour leur aide.

libxpc

Nous tenons à remercier Rasmus Sten et F-Secure (Mastodon: @pajp@blog.dll.nu) pour leur aide.

LLVM

Nous tenons à remercier Victor Duta de l’université d’Amsterdam, Fabio Pagani de l’université de Californie, Santa Barbara, Cristiano Giuffrida de l’université d’Amsterdam, Marius Muench et Fabian Freyer pour leur aide.

Maps

Nous tenons à remercier Kirin (@Pwnrin) pour son aide.

Music

Nous tenons à remercier Khiem Tran de databaselog.com/khiemtran, K宝 et LFY @secsys de l’université de Fudan et Yiğit Can YILMAZ (@yilmazcanyigit) pour leur aide.

Notification Center

Nous tenons à remercier Kirin (@Pwnrin) et LFYSec pour leur aide.

Entrée ajoutée le 28 octobre 2024

Notifications

Nous tenons à remercier un chercheur anonyme pour son aide.

PackageKit

Nous tenons à remercier Csaba Fitzl (@theevilbit) de Kandji, Mickey Jin (@patch1t), Zhongquan Li (@Guluisacat) pour leur aide.

Entrée mise à jour le 28 octobre 2024

Passwords

Nous tenons à remercier Richard Hyunho Im (@r1cheeta) pour son aide.

Photos

Nous tenons à remercier Abhay Kailasia (@abhay_kailasia) du Lakshmi Narain College of Technology Bhopal en Inde, Harsh Tyagi et Leandro Chaves pour leur aide.

Podcasts

Nous tenons à remercier Yiğit Can YILMAZ (@yilmazcanyigit) pour son aide.

Quick Look

Nous tenons à remercier Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com) pour son aide.

Safari

Nous tenons à remercier Hafiizh et YoKo Kho (@yokoacc) de HakTrak, Junsung Lee et Shaheen Fazim pour leur aide.

Sandbox

Nous tenons à remercier Cristian Dinca de l’École secondaire nationale d’informatique Tudor Vianu, Roumanie, pour son aide.

Entrée mise à jour le 28 octobre 2024

Screen Capture

Nous tenons à remercier Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) et un chercheur anonyme pour leur aide.

Shortcuts

Nous tenons à remercier Cristian Dinca de l’École secondaire nationale d’informatique Tudor Vianu, Roumanie, Jacob Braun et un chercheur anonyme pour leur aide.

Siri

Nous tenons à remercier Abhay Kailasia (@abhay_kailasia) du Lakshmi Narain College of Technology Bhopal India, Rohan Paudel, un chercheur anonyme pour leur aide.

Entrée mise à jour le 28 octobre 2024

SystemMigration

Nous tenons à remercier Jamey Wicklund, Kevin Jansen et un chercheur anonyme pour leur aide.

TCC

Nous tenons à remercier Noah Gregory (wts.dev) et Vaibhav Prajapati pour leur aide.

UIKit

Nous tenons à remercier Andr.Ess pour son aide.

Voice Memos

Nous tenons à remercier Lisa B pour son aide.

WebKit

Nous tenons à remercier Avi Lumelsky de Oligo Security, Uri Katz of Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle – Rıza Sabuncu pour leur aide.

Entrée mise à jour le 28 octobre 2024

Wi-Fi

Nous tenons à remercier Antonio Zekic (@antoniozekic), ant4g0nist et Tim Michaud (@TimGMichaud) de Moveworks.ai pour leur aide.

WindowServer

Nous tenons à remercier Felix Kratz pour son aide.

Entrée mise à jour le 28 octobre 2024

Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.

Date de publication: novembre 04, 2024