Om sikkerhetsinnholdet i macOS Sonoma 14.3

Dette dokumentet beskriver sikkerhetsinnholdet i macOS Sonoma 14.3.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

macOS Sonoma 14.3

Apple Neural Engine

Tilgjengelig for: macOS Sonoma

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-23212: Ye Zhang fra Baidu Security

CoreCrypto

Tilgjengelig for: macOS Sonoma

Virkning: En angriper kan være i stand til å dekryptere tekst som bruker eldre RSA PKCS#1 v1.5-kryptering, uten den private nøkkelen

Beskrivelse: Et timingsidekanal-problem løst gjennom forbedringer for konstant tidsberegning i kryptografiske funksjoner.

CVE-2024-23218: Clemens Lang

Finder

Tilgjengelig for: macOS Sonoma

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-23224: Brian McNulty

Kernel

Tilgjengelig for: macOS Sonoma

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-23208: fmyy(@binary_fmyy) og lime fra TIANGONG Team of Legendsec hos QI-ANXIN Group

libxpc

Tilgjengelig for: macOS Sonoma

Virkning: Et program kan være i stand til å forårsake tjenestenekt

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-23201: Koh M. Nakagawa fra FFRI Security, Inc. og en anonym forsker

LLVM

Tilgjengelig for: macOS Sonoma

Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-23209

Mail Search

Tilgjengelig for: macOS Sonoma

Virkning: Et program kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-23207: Noah Roskin-Frazee, Prof. J. (ZeroClicks.ai Lab) og Ian de Marcellus

NSSpellChecker

Tilgjengelig for: macOS Sonoma

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av filer.

CVE-2024-23223: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)

Power Manager

Tilgjengelig for: macOS Sonoma

Virkning: En app kan skade koprosessorens minne

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.

Safari

Tilgjengelig for: macOS Sonoma

Virkning: Privat nettlesing-aktivitet for en bruker kan være synlig i Innstillinger

Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av brukerinnstillinger.

CVE-2024-23211: Mark Bowers

Shortcuts

Tilgjengelig for: macOS Sonoma

Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren

Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.

CVE-2024-23203: en anonym forsker

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

Tilgjengelig for: macOS Sonoma

Virkning: Et program kan være i stand til å omgå enkelte personvernpreferanser

Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av midlertidige filer.

CVE-2024-23217: Kirin (@Pwnrin)

TCC

Tilgjengelig for: macOS Sonoma

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et problem ble løst gjennom forbedret behandling av midlertidige filer.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

Tilgjengelig for: macOS Sonoma

Virkning: Et program kan kanskje se telefonnummeret til en bruker i systemlogger

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-23210: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)

WebKit

Tilgjengelig for: macOS Sonoma

Virkning: Et skadelig nettsted kan kanskje samle inn identifiserende brukerinformasjon

Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.

CVE-2024-23206: en anonym forsker

WebKit

Tilgjengelig for: macOS Sonoma

Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-23213: Wangtaiyu fra Zhongfu info

WebKit

Tilgjengelig for: macOS Sonoma

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2024-23214: Nan Wang (@eternalsakura13) fra 360 Vulnerability Research Institute

WebKit

Tilgjengelig for: macOS Sonoma

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet.

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2024-23222

WebKit

Tilgjengelig for: macOS Sonoma

Virkning: Et skadelig nettsted kan forårsake uventet oppførsel

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-23271: James Lee (@Windowsrcer)

Ytterligere anerkjennelser

NetworkExtension

Vi vil gjerne takke Nils Rollshausen for hjelpen.