Informacije o sigurnosnom ažuriranju sustava macOS Sonoma 14.7.2
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Sonoma 14.7.2.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Sonoma 14.7.2
Objavljeno 11. prosinca 2024.
Apple Software Restore
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54477: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) (Kandji)
AppleGraphicsControl
Dostupno za: macOS Sonoma
Učinak: parsanje zlonamjernih video datoteka može dovesti do neočekivanog zatvaranja sustava
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-44220: D4m0n
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2024-54527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)
audio
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-54529: Dillon Franke u suradnji s Google Project Zero
Crash Reporter
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.
CVE-2024-44300: anonimni istraživač
DiskArbitration
Dostupno za: macOS Sonoma
Učinak: drugi korisnik može pristupiti šifriranoj diskovnoj jedinici bez upita za lozinku
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2024-54466: Michael Cohen
Disk Utility
Dostupno za: macOS Sonoma
Učinak: pokretanjem naredbe za postavljanje može se neočekivano izvršiti proizvoljni kod
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-54489: D’Angelo Gonzalez (CrowdStrike)
FontParser
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54486: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54500: Junsung Lee u suradnji s inicijativom Zero Day (Trend Micro)
Kernel
Dostupno za: macOS Sonoma
Učinak: napadač može izraditi mapiranje memorije samo za čitanje u koju se može zapisivati
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2024-54494: sohybbyk
Kernel
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2024-54510: Joseph Ravichandran (@0xjprx) (MIT CSAIL)
Kernel
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-44245: anonimni istraživač
libarchive
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-44201: Ben Roeder
libexpat
Dostupno za: macOS Sonoma
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2024-45490
libxpc
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54514: anonimni istraživač
libxpc
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-44225: 风沐云烟(@binary_fmyy)
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54474: Mickey Jin (@patch1t)
CVE-2024-54476: Mickey Jin (@patch1t), Bohdan Stasiuk (@Bohdan_Stasiuk)
SceneKit
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjerne datoteke moglo se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54501: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)
Screen Sharing Server
Dostupno za: macOS Sonoma
Učinak: korisnik s pristupom dijeljenju zaslona mogao bi vidjeti zaslon drugog korisnika
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-44248: Halle Winkler, Politepix (theoffcuts.org)
SharedFileList
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2024-54528: anonimni istraživač
SharedFileList
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-54498: anonimni istraživač
Software Update
Dostupno za: macOS Sonoma
Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.
CVE-2024-44291: Arsenii Kostromin (0x3c3e)
StorageKit
Dostupno za: macOS Sonoma
Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2024-44224: Amy (@asentientbot)
Swift
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2024-54495: Claudio Bozzato i Francesco Benvenuto (Cisco Talos), Arsenii Kostromin (0x3c3e)
Dodatna zahvala
CUPS
Zahvaljujemo evilsocketu na pomoći.
Proximity
Zahvaljujemo Junmingu C. (@Chapoly1305) i prof. Qiang Zengu (sveučilište George Mason University) na pomoći.
Sandbox
Zahvaljujemo IES Red Teamu (ByteDance) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.