Informazioni sui contenuti di sicurezza di macOS Sequoia 15

In questo documento vengono descritti i contenuti di sicurezza di macOS Sequoia 15.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

macOS Sequoia 15

Data di rilascio: 16 settembre 2024

Account

Disponibile per: Mac Studio (2022 e modelli successivi), iMac (2019 e modelli successivi), Mac Pro (2019 e modelli successivi), Mac mini (2020 e modelli successivi), MacBook Air (2018 e modelli successivi), MacBook Pro (2018 e modelli successivi) e iMac Pro (2017 e modelli successivi)

Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44129

Account

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.

CVE-2024-44153: Mickey Jin (@patch1t)

Account

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

Impatto: un'app dannosa potrebbe essere in grado di modificare le impostazioni di rete.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

Voce aggiunta il 28 ottobre 2024

APFS

Impatto: un'app dannosa con privilegi root può essere in grado di modificare i contenuti dei file di sistema.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Impatto: un'app con privilegi root potrebbe accedere a informazioni private.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2024-44130

App Intents

Impatto: un’app potrebbe accedere ai dati sensibili registrati quando un comando rapido non riesce ad avviare un’altra app

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2024-44154: Michael DePlante (@izobashi) di Zero Day Initiative di Trend Micro

AppleGraphicsControl

Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'applicazione.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-40845: Pwn2car in collaborazione con Zero Day Initiative di Trend Micro

CVE-2024-40846: Michael DePlante (@izobashi) di Zero Day Initiative di Trend Micro

AppleMobileFileIntegrity

Impatto: un'app può essere in grado di bypassare le preferenze sulla privacy.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto con ulteriori restrizioni di firma del codice.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Impatto: un utente malintenzionato potrebbe leggere le informazioni sensibili

Descrizione: un problema di downgrade è stato risolto con ulteriori restrizioni di firma del codice.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema di injection è stato risolto attraverso ulteriori restrizioni.

CVE-2024-44168: Claudio Bozzato e Francesco Benvenuto di Cisco Talos

AppleVA

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-27860: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro

CVE-2024-27861: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro

AppleVA

Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2024-40841: Michael DePlante (@izobashi) di Zero Day Initiative di Trend Micro

AppSandbox

Impatto: un'estensione della fotocamera può essere in grado di accedere a Internet.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-27795: Halle Winkler, Politepix @hallewinkler

AppSandbox

Impatto: un’app potrebbe essere in grado di accedere ai file protetti di un contenitore dell’app Sandbox

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44126: Holger Fuhrmannek

Voce aggiunta il 28 ottobre 2024

Automator

Impatto: un flusso di lavoro di azione rapida di Automator potrebbe bypassare Gatekeeper

Descrizione: questo problema è stato risolto aggiungendo una richiesta aggiuntiva di consenso dell'utente.

CVE-2024-44128: Anton Boegler

bless

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Impatto: l'estrazione di un archivio dannoso può consentire a un utente malintenzionato di scrivere file arbitrari.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Impatto: un'app può essere in grado di registrare lo schermo senza la presenza di un indicatore.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27869: un ricercatore anonimo

Control Center

Impatto: gli indicatori di privacy per l'accesso al microfono o alla fotocamera possono essere attribuiti in modo errato.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema logico è stato risolto con una migliore gestione dei file.

CVE-2024-44146: un ricercatore anonimo

Core Data

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

Voce aggiunta il 28 ottobre 2024

CUPS

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2023-4504

DiskArbitration

Impatto: un'applicazione sandbox potrebbe essere in grado di accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-40855: Csaba Fitzl (@theevilbit) di Kandji

Voce aggiunta il 28 ottobre 2024

Disk Images

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso una migliore convalida degli attributi dei file.

CVE-2024-44148: un ricercatore anonimo

Dock

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di privacy è stato risolto rimuovendo i dati sensibili.

CVE-2024-44177: un ricercatore anonimo

FileProvider

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2024-44131: @08Tc3wBB di Jamf

Game Center

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di accesso ad alcuni file è stato risolto attraverso una migliore convalida degli input.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Impatto: un'app potrebbe accedere alla Libreria foto dell'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27880: Junsung Lee

ImageIO

Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2024-44176: dw0r di ZeroPointer Lab in collaborazione con Zero Day Initiative di Trend Micro, un ricercatore anonimo

Installer

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Impatto: l’elaborazione di una texture pericolosa potrebbe causare la chiusura imprevista dell’app

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2024-44160: Michael DePlante (@izobashi) di Zero Day Initiative di Trend Micro

Intel Graphics Driver

Impatto: l’elaborazione di una texture pericolosa potrebbe causare la chiusura imprevista dell’app

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2024-44161: Michael DePlante (@izobashi) di Zero Day Initiative di Trend Micro

IOSurfaceAccelerator

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-44169: Antonio Zekić

Kernel

Impatto: può verificarsi una fuoriuscita del traffico di rete al di fuori di un tunnel VPN

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2024-44175: Csaba Fitzl (@theevilbit) di Kandji

Voce aggiunta il 28 ottobre 2024

Kernel

Impatto: un'app potrebbe ottenere l'accesso non autorizzato al Bluetooth.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) e Mathy Vanhoef

LaunchServices

Impatto: un'applicazione potrebbe essere in grado di uscire dalla relativa sandbox

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-44122: un ricercatore anonimo

Voce aggiunta il 28 ottobre 2024

libxml2

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2024-44198: OSS-Fuzz, Ned Williamson di Google Project Zero

Mail Accounts

Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema è stato risolto attraverso una migliore gestione dei file temporanei.

CVE-2024-44181: Kirin(@Pwnrin) e LFY(@secsys) dell’Università Fudan

mDNSResponder

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: un problema logico è stato risolto con una migliore gestione degli errori.

CVE-2024-44183: Olivier Levon

Model I/O

Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.

CVE-2023-5841

Music

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-27858: Meng Zhang (鲸落) di NorthSea, Csaba Fitzl (@theevilbit) di Kandji

Voce aggiornata il 28 ottobre 2024

Note

Impatto: un'app potrebbe sovrascrivere i file arbitrari.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2024-44167: ajajfxhj

Notification Center

Impatto: un'app dannosa può essere in grado di accedere alle notifiche del dispositivo dell'utente.

Descrizione: un problema di privacy è stato risolto spostando i dati sensibili in una posizione protetta.

CVE-2024-40838: Brian McNulty, Cristian Dinca del “Tudor Vianu” National High School of Computer Science, Romania, Vaibhav Prajapati

NSColor

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2024-44186: un ricercatore anonimo

OpenSSH

Impatto: più problemi in OpenSSH.

CVE-2024-39894

PackageKit

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Impatto: un documento non crittografato può essere scritto in un file temporaneo durante l'utilizzo dell'anteprima di stampa.

Descrizione: un problema di privacy è stato risolto migliorando la gestione dei file.

CVE-2024-40826: un ricercatore anonimo

Quick Look

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-44149: Wojciech Regula di SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) di Kandji

Voce aggiornata il 28 ottobre 2024

Safari

Impatto: l'accesso a un sito web dannoso può causare lo spoofing dell'interfaccia utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Impatto: i contenuti web dannosi possono violare la politica della sandbox iframe.

Descrizione: un problema relativo alla gestione di uno schema URL personalizzato è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-44155: Narendra Bhati, Manager di Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)

Voce aggiunta il 28 ottobre 2024

Sandbox

Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Impatto: un'applicazione dannosa può accedere a informazioni private.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Impatto: un'app potrebbe accedere alla Libreria foto dell'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula di SecuRing (wojciechregula.blog), Kirin (@Pwnrin) di NorthSea

Voce aggiunta il 28 ottobre 2024

SceneKit

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2024-44144: 냥냥

Voce aggiunta il 28 ottobre 2024

Screen Capture

Impatto: un utente malintenzionato con accesso fisico può essere in grado di condividere elementi dalla schermata di blocco.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44137: Halle Winkler, Politepix @hallewinkler

Voce aggiunta il 28 ottobre 2024

Screen Capture

Impatto: un malintenzionato potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44174: Vivek Dhar

Voce aggiunta il 28 ottobre 2024

Security

Impatto: un'app dannosa con privilegi root potrebbe essere in grado di accedere all'input della tastiera e alle informazioni sulla posizione senza il consenso dell'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-44123: Wojciech Regula di SecuRing (wojciechregula.blog)

Voce aggiunta il 28 ottobre 2024

Security Initialization

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), un ricercatore anonimo

Shortcuts

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Impatto: un'abbreviazione potrebbe esporre dati sensibili dell'utente senza consenso.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Impatto: un’app potrebbe osservare i dati mostrati all’utente tramite Comandi rapidi

Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.

CVE-2024-40844: Kirin (@Pwnrin) e luckyu (@uuulucky) di NorthSea

Sidecar

Impatto: un utente malintenzionato con accesso fisico a un dispositivo macOS con Sidecar potrebbe essere in grado di bypassare la schermata di blocco.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44145: Om Kothawade, Omar A. Alanis dell'UNTHSC College of Pharmacy

Voce aggiunta il 28 ottobre 2024

Siri

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di privacy è stato risolto spostando i dati sensibili in una posizione più sicura.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) e LFY (@secsys) dell’Università Fudan

System Settings

Impatto: un'app potrebbe leggere file arbitrari.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Impatto: sui dispositivi gestiti da MDM, un'app può essere in grado di aggirare alcune preferenze di privacy.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) di Microsoft

Transparency

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-40859: Csaba Fitzl (@theevilbit) di Kandji

Voce aggiornata il 28 ottobre 2024

Vim

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

CVE-2024-41957

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Impatto: l'accesso a un sito web dannoso potrebbe causare lo spoofing della barra degli indirizzi.

Descrizione: il problema è stato risolto attraverso una migliore interfaccia utente.

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh e YoKo Kho (@yokoacc) di HakTrak

WebKit

Impatto: un sito web dannoso può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificava un problema multiorigine con gli elementi “iFrame”. è stato risolto attraverso un migliore monitoraggio delle origini di sicurezza.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Impatto: un utente non privilegiato può essere in grado di modificare le impostazioni di rete con restrizioni

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Impatto: un'app può essere in grado di causare un'interruzione del servizio

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-44134

Wi-Fi

Impatto: un utente malintenzionato può essere in grado di forzare la disconnessione di un dispositivo da una rete protetta.

Descrizione: un problema di integrità è stato risolto attraverso Beacon Protection.

CVE-2024-40856: Domien Schepers

WindowServer

Impatto: si verificava un problema logico per cui un processo poteva essere in grado di catturare i contenuti dello schermo senza il consenso dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44189: Tim Clem

WindowServer

Impatto: un'app potrebbe bypassare alcune preferenze di privacy.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44208: un ricercatore anonimo

Voce aggiunta il 28 ottobre 2024

XProtect

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema è stato risolto con una migliore convalida delle variabili ambientali.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Altri riconoscimenti

Admin Framework

Ringraziamo Csaba Fitzl (@theevilbit) di Kandji per l'assistenza.

Voce aggiornata il 28 ottobre 2024

Airport

Ringraziamo David Dudok de Wit per l’assistenza.

Voce aggiornata il 28 ottobre 2024

APFS

Ringraziamo Georgi Valkov di httpstorm.com per l'assistenza.

App Store

Ringraziamo Csaba Fitzl (@theevilbit) di Kandji per l'assistenza.

Voce aggiornata il 28 ottobre 2024

AppKit

Ringraziamo @08Tc3wBB di Jamf per l'assistenza.

Apple Neural Engine

Ringraziamo Jiaxun Zhu (@svnswords) e Minghao Lin (@Y1nKoc) per l'assistenza.

Automator

Ringraziamo Koh M. Nakagawa (@tsunek0h) per l'assistenza.

Core Bluetooth

Ringraziamo Nicholas C. di Onymos Inc. (onymos.com) per l'assistenza.

Core Services

Ringraziamo Cristian Dinca del “Tudor Vianu” National High School of Computer Science, Romania, Kirin (@Pwnrin) e 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, Zhongquan Li (@Guluisacat) per l'assistenza.

CUPS

Ringraziamo moein abas per l'assistenza.

Voce aggiunta il 28 ottobre 2024

Disk Utility

Ringraziamo Csaba Fitzl (@theevilbit) di Kandji per l'assistenza.

dyld

Ringraziamo Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi di Shielder (shielder.com) per l'assistenza.

Voce aggiunta il 28 ottobre 2024

FileProvider

Ringraziamo Kirin (@Pwnrin) per l'assistenza.

Foundation

Ringraziamo Ostorlab per l'assistenza.

Kernel

Ringraziamo Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) di PixiePoint Security per l'assistenza.

libxpc

Ringraziamo Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) per l'assistenza.

LLVM

Ringraziamo Victor Duta della Universiteit Amsterdam, Fabio Pagani della University of California, Santa Barbara, Cristiano Giuffrida della Universiteit Amsterdam, Marius Muench e Fabian Freyer per l'assistenza.

Maps

Ringraziamo Kirin (@Pwnrin) per l'assistenza.

Music

Ringraziamo Khiem Tran di databaselog.com/khiemtran, K宝 and LFY@secsys from Fudan University, Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.

Notification Center

Ringraziamo Kirin (@Pwnrin) e LFYSec per l'assistenza.

Voce aggiunta il 28 ottobre 2024

Notifications

Ringraziamo un ricercatore anonimo per l'assistenza.

PackageKit

Ringraziamo Csaba Fitzl (@theevilbit) di Kandji, Mickey Jin (@patch1t), Zhongquan Li (@Guluisacat) per l'assistenza.

Voce aggiornata il 28 ottobre 2024

Password

Ringraziamo Richard Hyunho Im (@r1cheeta) per l'assistenza.

Photos

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi e Leandro Chaves per l'assistenza.

Podcast

Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.

Quick Look

Ringraziamo Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com) per l'assistenza.

Safari

Ringraziamo Hafiizh and YoKo Kho (@yokoacc) di HakTrak, Junsung Lee, Shaheen Fazim per l'assistenza.

Sandbox

Ringraziamo Cristian Dinca della Tudor Vianu National High School of Computer Science, Romania per l'assistenza.

Voce aggiornata il 28 ottobre 2024

Screen Capture

Ringraziamo Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit), un ricercatore anonimo per l'assistenza.

Shortcuts

Ringraziamo Cristian Dinca della Tudor Vianu National High School of Computer Science, Romania, Jacob Braun e un ricercatore anonimo per l'assistenza.

Siri

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India, Rohan Paudel, un ricercatore anonimo per l'assistenza.

Voce aggiornata il 28 ottobre 2024

SystemMigration

Ringraziamo Jamey Wicklund, Kevin Jansen, un ricercatore anonimo per l'assistenza.

TCC

Ringraziamo Noah Gregory (wts.dev), Vaibhav Prajapati per l'assistenza.

UIKit

Ringraziamo Andr.Ess per l'assistenza.

Voice Memos

Ringraziamo Lisa B per l'assistenza.

WebKit

Ringraziamo Avi Lumelsky di Oligo Security, Uri Katz di Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle - Rıza Sabuncu per l'assistenza.

Voce aggiornata il 28 ottobre 2024

Wi-Fi

Ringraziamo Antonio Zekic (@antoniozekic) e ant4g0nist, Tim Michaud (@TimGMichaud) di Moveworks.ai per l'assistenza.

WindowServer

Ringraziamo Felix Kratz per l'assistenza.

Voce aggiornata il 28 ottobre 2024

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 4 novembre 2024