O sigurnosnom sadržaju sustava macOS Sonoma 14.7

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Sonoma 14.7.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Sonoma 14.7

Accounts

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen poboljšanom logikom za dozvole.

CVE-2024-44153: Mickey Jin (@patch1t)

App Intents

Dostupno za: macOS Sonoma

Učinak: aplikacije su mogle pristupiti osjetljivim podacima zabilježenima prilikom neuspjelog otvaranja druge aplikacije putem prečaca

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Dostupno za: macOS Sonoma

Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-40846: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

CVE-2024-40845: Pwn2car i inicijativa Zero Day (Trend Micro)

AppleGraphicsControl

Dostupno za: macOS Sonoma

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2024-44154: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

AppleMobileFileIntegrity

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen dodatnim ograničenjima potpisivanja koda.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s ubrizgavanjem biblioteke riješen je dodatnim ograničenjima.

CVE-2024-44168: Claudio Bozzato i Francesco Benvenuto (Cisco Talos)

AppleMobileFileIntegrity

Dostupno za: macOS Sonoma

Učinak: napadači su mogli pročitati osjetljive podatke

Opis: problem vraćanja na stariju verziju riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleVA

Dostupno za: macOS Sonoma

Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-40841: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

AppSandbox

Dostupno za: macOS Sonoma

Učinak: aplikacije su mogle pristupiti zaštićenim datotekama u spremniku memorije za testiranje aplikacija

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-44135: Mickey Jin (@patch1t)

ARKit

Dostupno za: macOS Sonoma

Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44126: Holger Fuhrmannek

Automator

Dostupno za: macOS Sonoma

Učinak: tijek rada s brzim postupcima Automatora mogao je zaobići Gatekeeper

Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.

CVE-2024-44128: Anton Boegler

bless

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Dostupno za: macOS Sonoma

Učinak: raspakiravanjem zlonamjerne arhive napadačima se moglo omogućiti zapisivanje proizvoljnih datoteka

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Dock

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2024-44177: anonimni istraživač

Game Center

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s pristupom datoteci riješen je poboljšanom provjerom valjanosti ulaznih podataka

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Dostupno za: macOS Sonoma

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-27880: Junsung Lee

ImageIO

Dostupno za: macOS Sonoma

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-44176: dw0r (ZeroPointer Lab) i inicijativa Zero Day (Trend Micro), anonimni istraživač

Intel Graphics Driver

Dostupno za: macOS Sonoma

Učinak: obradom zlonamjerne teksture moglo je doći do neočekivanog zatvaranja aplikacije

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2024-44160: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

Intel Graphics Driver

Dostupno za: macOS Sonoma

Učinak: obradom zlonamjerne teksture moglo je doći do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-44161: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

IOSurfaceAccelerator

Dostupno za: macOS Sonoma

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44169: Antonio Zekić

Kernel

Dostupno za: macOS Sonoma

Učinak: mrežni promet mogao je procuriti izvan VPN tunela

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44165: Andrew Lytvynov

Mail Accounts

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Dostupno za: macOS Sonoma

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem je riješen poboljšanim rukovanjem privremenim datotekama.

CVE-2024-44181: Kirin(@Pwnrin) i LFY(@secsys) (Sveučilište Fudan)

mDNSResponder

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: logička pogreška riješena je poboljšanim rukovanjem pogreškama.

CVE-2024-44183: Olivier Levon

Notes

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-44167: ajajfxhj

PackageKit

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2024-44178: Mickey Jin (@patch1t)

Safari

Dostupno za: macOS Sonoma

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-40797: Rifa'i Rejal Maynando

Sandbox

Dostupno za: macOS Sonoma

Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Dostupno za: macOS Sonoma

Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Security Initialization

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), anonimni istraživač

Shortcuts

Dostupno za: macOS Sonoma

Učinak: prečac bi mogao pružati osjetljive korisničke podatke bez pristanka

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Dostupno za: macOS Sonoma

Učinak: neke su aplikacije mogle pratiti podatke koje se korisnicima prikazuju u aplikaciji Prečaci

Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.

CVE-2024-40844: Kirin (@Pwnrin) i luckyu (@uuulucky) (NorthSea)

sudo

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-44166: Kirin(@Pwnrin) i LFY (@secsys) (Sveučilište Fudan)

System Settings

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla čitati proizvoljne datoteke

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

Transparency

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

Dodatna zahvala

Airport

Na pomoći zahvaljujemo Davidu Dudoku de Witu.