Over de beveiligingsinhoud van macOS Sequoia 15

In dit document wordt de beveiligingsinhoud van macOS Sequoia 15 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Sequoia 15

Releasedatum: 16 september 2024

Accounts

Beschikbaar voor: Mac Studio (2022 en nieuwer), iMac (2019 en nieuwer), Mac Pro (2019 en nieuwer), Mac mini (2018 en nieuwer), MacBook Air (2020 en nieuwer), MacBook Pro (2018 en nieuwer) en iMac Pro (2017 en nieuwer)

Impact: een app kan vertrouwelijke gebruikersgegevens vrijgeven

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44129

Accounts

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

AirPort

Impact: een schadelijke app kan mogelijk netwerkinstellingen wijzigen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

Toegevoegd op 28 oktober 2024

APFS

Impact: een schadelijke app met rootbevoegdheden kan mogelijk de inhoud van systeembestanden wijzigen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Impact: een app met rootbevoegdheden kan mogelijk toegang verkrijgen tot privégegevens

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2024-44130

App Intents

Impact: een app kan mogelijk gevoelige gegevens openen die geregistreerd worden wanneer het niet lukt met een opdracht een andere app te openen

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een probleem met geheugeninitialisatie is verholpen door verbeterde geheugenverwerking.

CVE-2024-44154: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

AppleGraphicsControl

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-40845: Pwn2car in samenwerking met Trend Micro Zero Day Initiative

CVE-2024-40846: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

AppleMobileFileIntegrity

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door aanvullende codeondertekeningsbeperkingen.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Impact: een aanvaller kan mogelijk vertrouwelijke informatie lezen

Beschrijving: een downgradeprobleem is verholpen door aanvullende codeondertekeningsbeperkingen.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een probleem met het invoegen van bibliotheken is verholpen door aanvullende beperkingen.

CVE-2024-44168: Claudio Bozzato en Francesco Benvenuto van Cisco Talos

AppleVA

Impact: een app kan mogelijk beperkt geheugen lezen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27860: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

CVE-2024-27861: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

AppleVA

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2024-40841: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

AppSandbox

Impact: een camera-extensie kan mogelijk toegang krijgen tot het internet

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2024-27795: Halle Winkler, Politepix @hallewinkler

AppSandbox

Impact: een app kan mogelijk toegang krijgen tot beschermde bestanden in een Sandbox-container van een app

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44126: Holger Fuhrmannek

Toegevoegd op 28 oktober 2024

Automator

Impact: een workflow voor snelle takenreeksen van Automator kan mogelijk Gatekeeper omzeilen

Beschrijving: dit probleem is verholpen door een extra melding toe te voegen waarin de gebruiker om toestemming gevraagd wordt.

CVE-2024-44128: Anton Boegler

bless

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Impact: het uitpakken van een kwaadwillig vervaardigd archief kan een aanvaller de mogelijkheid geven om willekeurige bestanden te schrijven

Beschrijving: een race condition is verholpen door verbeterde vergrendeling.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Impact: een app kan mogelijk het scherm opnemen zonder indicator

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27869: een anonieme onderzoeker

Control Center

Impact: de privacy-indicator voor de microfoon of camera wordt mogelijk onjuist toegeschreven

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een logicaprobleem is verholpen door verbeterd bestandsbeheer.

CVE-2024-44146: een anonieme onderzoeker

Core Data

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

Toegevoegd op 28 oktober 2024

CUPS

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is door derden toegewezen. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2023-4504

DiskArbitration

Impact: een app in een sandbox kan mogelijk toegang krijgen tot gevoelige gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-40855: Csaba Fitzl (@theevilbit) van Kandji

Toegevoegd op 28 oktober 2024

Disk Images

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door een verbeterde validatie van bestandskenmerken.

CVE-2024-44148: een anonieme onderzoeker

Dock

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens te verwijderen.

CVE-2024-44177: een anonieme onderzoeker

FileProvider

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2024-44131: @08Tc3wBB van Jamf

Game Center

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met bestandstoegang is verholpen door verbeterde invoervalidatie.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Impact: een app kan toegang krijgen tot de bibliotheek met foto's van een gebruiker

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2024-27880: Junsung Lee

ImageIO

Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2024-44176: dw0r van ZeroPointer Lab in samenwerking met Trend Micro Zero Day Initiative en een anonieme onderzoeker

Installer

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Impact: het verwerken van een kwaadwillig vervaardigde structuur kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.

CVE-2024-44160: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

Intel Graphics Driver

Impact: het verwerken van een kwaadwillig vervaardigde structuur kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2024-44161: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

IOSurfaceAccelerator

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-44169: Antonio Zekić

Kernel

Impact: netwerkverkeer kan buiten een VPN-tunnel terechtkomen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2024-44175: Csaba Fitzl (@theevilbit) van Kandji

Toegevoegd op 28 oktober 2024

Kernel

Impact: een app kan ongeoorloofde toegang verkrijgen tot Bluetooth

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) en Mathy Vanhoef

LaunchServices

Impact: een app kan mogelijk buiten zijn sandbox komen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-44122: een anonieme onderzoeker

Toegevoegd op 28 oktober 2024

libxml2

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2024-44198: OSS-Fuzz en Ned Williamson van Google Project Zero

Mail Accounts

Impact: een app kan mogelijk toegang krijgen tot informatie over de contacten van een gebruiker

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een probleem is verholpen door verbeterde verwerking van tijdelijke bestanden.

CVE-2024-44181: Kirin(@Pwnrin) en LFY(@secsys) van Fudan University

mDNSResponder

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een logicaprobleem is verholpen door verbeterde foutverwerking.

CVE-2024-44183: Olivier Levon

Model I/O

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial-of-service

CVE-2023-5841

Music

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2024-27858: Meng Zhang (鲸落) van NorthSea, Csaba Fitzl (@theevilbit) van Kandji

Bijgewerkt op 28 oktober 2024

Notes

Impact: een app kan mogelijk willekeurige bestanden overschrijven

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2024-44167: ajajfxhj

Notification Center

Impact: een schadelijke app kan mogelijk toegang krijgen tot meldingen van het apparaat van de gebruiker

Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens naar een beveiligde locatie te verplaatsen.

CVE-2024-40838: Brian McNulty, Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Romania en Vaibhav Prajapati

NSColor

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.

CVE-2024-44186: een anonieme onderzoeker

OpenSSH

Impact: meerdere problemen in OpenSSH

CVE-2024-39894

PackageKit

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Impact: een niet-versleuteld document kan naar een tijdelijk bestand worden geschreven bij het gebruik van een afdrukvoorbeeld

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van bestanden.

CVE-2024-40826: een anonieme onderzoeker

Quick Look

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2024-44149: Wojciech Regula van SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) van Kandji

Bijgewerkt op 28 oktober 2024

Safari

Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Impact: kwaadwillig vervaardigd webmateriaal kan het iframe sandbox-beleid schenden

Beschrijving: een probleem met de verwerking van een aangepast URL-schema is verholpen door verbeterde invoervalidatie.

CVE-2024-44155: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)

Toegevoegd op 28 oktober 2024

Sandbox

Impact: een schadelijke app kan vertrouwelijke gebruikersinformatie vrijgeven

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Impact: een schadelijke app kan mogelijk toegang verkrijgen tot privégegevens

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Impact: een app kan toegang krijgen tot de bibliotheek met foto's van een gebruiker

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula van SecuRing (wojciechregula.blog), Kirin (@Pwnrin) van NorthSea

Toegevoegd op 28 oktober 2024

SceneKit

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.

CVE-2024-44144: 냥냥

Toegevoegd op 28 oktober 2024

Screen Capture

Impact: een aanvaller met fysieke toegang kan mogelijk items delen vanaf het toegangsscherm

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44137: Halle Winkler, Politepix @hallewinkler

Toegevoegd op 28 oktober 2024

Screen Capture

Impact: een aanvaller kan mogelijk beperkte inhoud bekijken via het toegangsscherm

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44174: Vivek Dhar

Toegevoegd op 28 oktober 2024

Security

Impact: een schadelijke app met rootbevoegdheden kan mogelijk zonder toestemming van de gebruiker toegang krijgen tot toetsenbordinvoer en locatiegegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2024-44123: Wojciech Regula van SecuRing (wojciechregula.blog)

Toegevoegd op 28 oktober 2024

Security Initialization

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito) en een anonieme onderzoeker

Shortcuts

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Impact: een opdracht kan mogelijk zonder toestemming gevoelige gebruikersgegevens vrijgeven

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Impact: een app kan mogelijk gegevens waarnemen die aan de gebruiker worden weergeven via Opdrachten

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.

CVE-2024-40844: Kirin (@Pwnrin) en luckyu (@uuulucky) van NorthSea

Sidecar

Impact: een aanvaller met fysieke toegang tot een apparaat met macOS waarop Sidecar is ingeschakeld, kan mogelijk het toegangsscherm omzeilen

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44145: Om Kothawade, Omar A. Alanis van de UNTHSC College of Pharmacy

Toegevoegd op 28 oktober 2024

Siri

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens naar een veiligere locatie te verplaatsen.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech) en Rodolphe BRUNETTI (@eisw0lf)

sudo

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) en LFY (@secsys) van Fudan University

System Settings

Impact: een app kan mogelijk willekeurige bestanden lezen

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Impact: op apparaten die worden beheerd door MDM, kan een app mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) van Microsoft

Transparency

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2024-40859: Csaba Fitzl (@theevilbit) van Kandji

Bijgewerkt op 28 oktober 2024

Vim

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van de app

CVE-2024-41957

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot universele cross-site-scripting

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Impact: het bezoeken van een schadelijke website kan leiden tot adresbalkvervalsing

Beschrijving: het probleem is verholpen door een verbeterde gebruikersinterface.

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh en YoKo Kho (@yokoacc) van HakTrak

WebKit

Impact: een schadelijke website kan gegevens 'cross-origin' exfiltreren

Beschrijving: er was een cross-origin-probleem met iframe-elementen. Dit is verholpen door een verbeterde tracking van beveiligingsbronnen.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Impact: een niet-geprivilegieerde gebruiker kan mogelijk beperkte netwerkinstellingen wijzigen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Impact: een app kan een denial-of-service veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2024-44134

Wi-Fi

Impact: een aanvaller kan de verbinding van een apparaat met een beveiligd netwerk mogelijk geforceerd verbreken

Beschrijving: een integriteitsprobleem met Beacon Protection is verholpen.

CVE-2024-40856: Domien Schepers

WindowServer

Impact: er was een logicaprobleem waarbij een proces de scherminhoud kan vastleggen zonder toestemming van de gebruiker

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44189: Tim Clem

WindowServer

Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44208: een anonieme onderzoeker

Toegevoegd op 28 oktober 2024

XProtect

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem is verholpen door verbeterde validatie van omgevingsvariabelen.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Aanvullende erkenning

Admin Framework

Met dank aan Csaba Fitzl (@theevilbit) van Kandji voor de hulp.

Bijgewerkt op 28 oktober 2024

AirPort

Met dank aan David Dudok de Wit voor de hulp.

Bijgewerkt op 28 oktober 2024

APFS

Met dank aan Georgi Valkov van httpstorm.com voor de hulp.

App Store

Met dank aan Csaba Fitzl (@theevilbit) van Kandji voor de hulp.

Bijgewerkt op 28 oktober 2024

AppKit

Met dank aan @08Tc3wBB van Jamf voor de hulp.

Apple Neural Engine

Met dank aan Jiaxun Zhu (@svnswords) en Minghao Lin (@Y1nKoc) voor de hulp.

Automator

Met dank aan Koh M. Nakagawa (@tsunek0h) voor de hulp.

Core Bluetooth

Met dank aan Nicholas C. van Onymos Inc. (onymos.com) voor de hulp.

Core Services

Met dank aan Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Romania, Kirin (@Pwnrin) en 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos en Zhongquan Li (@Guluisacat) voor de hulp.

CUPS

Met dank aan moein abas voor de hulp.

Toegevoegd op 28 oktober 2024

Disk Utility

Met dank aan Csaba Fitzl (@theevilbit) van Kandji voor de hulp.

dyld

Met dank aan Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi van Shielder (shielder.com) voor de hulp.

Toegevoegd op 28 oktober 2024

FileProvider

Met dank aan Kirin (@Pwnrin) voor de hulp.

Foundation

Met dank aan Ostorlab voor de hulp.

Kernel

Met dank aan Braxton Anderson en Fakhri Zulkifli (@d0lph1n98) van PixiePoint Security voor de hulp.

libxpc

Met dank aan Rasmus Sten en F-Secure (Mastodon: @pajp@blog.dll.nu) voor de hulp.

LLVM

Met dank aan Victor Duta van Universiteit Amsterdam, Fabio Pagani van University of California, Santa Barbara, Cristiano Giuffrida van Universiteit Amsterdam, Marius Muench en Fabian Freyer voor de hulp.

Maps

Met dank aan Kirin (@Pwnrin) voor de hulp.

Music

Met dank aan Khiem Tran van databaselog.com/khiemtran, K宝, LFY@secsys van Fudan University en Yiğit Can YILMAZ (@yilmazcanyigit) voor de hulp.

Notification Center

Met dank aan Kirin (@Pwnrin) en LFYSec voor de hulp.

Toegevoegd op 28 oktober 2024

Notifications

Met dank aan een anonieme onderzoeker voor de hulp.

PackageKit

Met dank aan Csaba Fitzl (@theevilbit) van Kandji, Mickey Jin (@patch1t), Zhongquan Li (@Guluisacat) voor de hulp.

Bijgewerkt op 28 oktober 2024

Passwords

Met dank aan Richard Hyunho Im (@r1cheeta) voor de hulp.

Photos

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi en Leandro Chaves voor de hulp.

Podcasts

Met dank aan Yiğit Can YILMAZ (@yilmazcanyigit) voor de hulp.

Quick Look

Met dank aan Zhipeng Huo (@R3dF09) van Tencent Security Xuanwu Lab (xlab.tencent.com) voor de hulp.

Safari

Met dank aan Hafiizh en YoKo Kho (@yokoacc) van HakTrak, Junsung Lee en Shaheen Fazim voor de hulp.

Sandbox

Met dank aan Cristian Dinca van Tudor Vianu National High School of Computer Science, Roemenië voor de hulp.

Bijgewerkt op 28 oktober 2024

Screen Capture

Met dank aan Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) en een anonieme onderzoeker voor hun hulp..

Shortcuts

Met dank aan Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Romania, Jacob Braun en een anonieme onderzoeker voor de hulp.

Siri

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Rohan Paudel en een anonieme onderzoeker voor de hulp.

Bijgewerkt op 28 oktober 2024

SystemMigration

Met dank aan Jamey Wicklund, Kevin Jansen en een anonieme onderzoeker voor de hulp.

TCC

Met dank aan Noah Gregory (wts.dev) en Vaibhav Prajapati voor de hulp.

UIKit

Met dank aan Andr.Ess voor de hulp.

Voice Memos

Met dank aan Lisa B voor de hulp.

WebKit

Met dank aan Avi Lumelsky van Oligo Security, Uri Katz van Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle - Rıza Sabuncu voor de hulp.

Bijgewerkt op 28 oktober 2024

Wi-Fi

Met dank aan Antonio Zekic (@antoniozekic) en ant4g0nist en Tim Michaud (@TimGMichaud) van Moveworks.ai voor de hulp.

WindowServer

Met dank aan Felix Kratz voor de hulp.

Bijgewerkt op 28 oktober 2024

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: 4 november 2024