Om sikkerhetsinnholdet i macOS Sequoia 15

Dette dokumentet beskriver sikkerhetsinnholdet i macOS Sequoia 15.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple-produktsikkerhet.

macOS Sequoia 15

Utgitt 16. september 2024

Accounts

Tilgjengelig for: Mac Studio (2022 og nyere), iMac (2019 og nyere), Mac Pro (2019 og nyere), Mac mini (2018 og nyere), MacBook Air (2020 og nyere), MacBook Pro (2018 og nyere) og iMac Pro (2017 og nyere)

Virkning: En app kan kanskje lekke sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44129

Accounts

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

AirPort

Virkning: En skadelig app kan være i stand til å endre nettverksinnstillinger

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

Oppføring lagt til 28. oktober 2024

APFS

Virkning: En skadelig app med rotrettigheter kan endre innholdet i systemfiler

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Virkning: Apper med rotrettigheter kan få tilgang til privat informasjon

Beskrivelse: Problemet ble løst med forbedret databeskyttelse.

CVE-2024-44130

App Intents

Virkning: En app kan få tilgang til sensitive data som er logget når en snarvei ikke starter en annen app

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.

CVE-2024-44154: Michael DePlante (@izobashi) hos Trend Micro Zero Day Initiative

AppleGraphicsControl

Virkning: Behandling av en skadelig videofil kan føre til uventet appavslutning.

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-40845: Pwn2car i samarbeid med Trend Micro Zero Day Initiative

CVE-2024-40846: Michael DePlante (@izobashi) hos Trend Micro Zero Day Initiative

AppleMobileFileIntegrity

Virkning: En app kan kanskje omgå personvernpreferanser

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst med flere begrensninger for signering av kode.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Virkning: En angriper kan være i stand til å lese sensitiv informasjon

Beskrivelse: Et problem med nedgradering ble løst gjennom ekstra kodesigneringsrestriksjoner.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Et problem med biblioteksinntrenging ble løst gjennom tilleggsbegrensninger.

CVE-2024-44168: Claudio Bozzato og Francesco Benvenuto fra Cisco Talos

AppleVA

Virkning: Et program kan lese begrenset minne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-27860: Michael DePlante (@izobashi) hos Trend Micro Zero Day Initiative

CVE-2024-27861: Michael DePlante (@izobashi) hos Trend Micro Zero Day Initiative

AppleVA

Virkning: Behandling av en skadelig videofil kan føre til uventet appavslutning.

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2024-40841: Michael DePlante (@izobashi) hos Trend Micro Zero Day Initiative

AppSandbox

Virkning: En kamerautvidelse kan få tilgang til internett

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-27795: Halle Winkler, Politepix @hallewinkler

AppSandbox

Virkning: En app kan få tilgang til beskyttede filer i en appsandkassebeholder

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Virkning: Behandling av en skadelig fil kan føre til skade i heapen

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44126: Holger Fuhrmannek

Oppføring lagt til 28. oktober 2024

Automator

Virkning: En Automator-arbeidsflyt for hurtighandling kan være i stand til å omgå Gatekeeper

Beskrivelse: Dette problemet ble løst ved å legge inn en ekstra forespørsel om brukersamtykke.

CVE-2024-44128: Anton Boegler

bless

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Virkning: Utpakking av et skadelig arkiv kan gi en angriper muligheten til å skrive tilfeldige filer

Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Virkning: En app kan ta opp skjermen uten indikator

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-27869: en anonym forsker

Control Center

Virkning: Personvernindikatorer for mikrofon- eller kameratilgang kan tildeles feilaktig.

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Et logikkproblem ble løst gjennom forbedret filhåndtering.

CVE-2024-44146: en anonym forsker

Core Data

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

Oppføring lagt til 28. oktober 2024

CUPS

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2023-4504

DiskArbitration

Virkning: En sandkasseapp kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40855: Csaba Fitzl (@theevilbit) fra Kandji

Oppføring lagt til 28. oktober 2024

Disk Images

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Problemet ble løst gjennom forbedret filattributtvalidering.

CVE-2024-44148: en anonym forsker

Dock

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et personvernproblem ble løst ved å fjerne sensitive data.

CVE-2024-44177: en anonym forsker

FileProvider

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom forbedret symlink-validering.

CVE-2024-44131: @08Tc3wBB fra Jamf

Game Center

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et filtilgangsproblem ble løst gjennom forbedret validering av inndata.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Virkning: Et program kan få tilgang til brukerens bildebibliotek

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-27880: Junsung Lee

ImageIO

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-44176: dw0r fra ZeroPointer Lab arbeider med Trend Micro Zero Day Initiative, en anonym forsker

Installer

Virkning: En app kan være i stand til å få rotrettigheter

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Virkning: Behandling av en skadelig struktur kan føre til uventet applukking

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2024-44160: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Intel Graphics Driver

Virkning: Behandling av en skadelig struktur kan føre til uventet applukking

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2024-44161: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

IOSurfaceAccelerator

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-44169: Antonio Zekić

Kernel

Virkning: Nettverkstrafikk kan lekke utenfor en VPN-tunnel

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-44165: Andrew Lytvynov

Kernel

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom forbedret symlink-validering.

CVE-2024-44175: Csaba Fitzl (@theevilbit) fra Kandji

Oppføring lagt til 28. oktober 2024

Kernel

Virkning: En app kan få uautorisert tilgang til Bluetooth

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) og Mathy Vanhoef

LaunchServices

Virkning: Et program kan kanskje bryte ut av sandkassen sin

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-44122: en anonym forsker

Oppføring lagt til 28. oktober 2024

libxml2

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.

CVE-2024-44198: OSS-Fuzz, Ned Williamson hos Google Project Zero

Mail Accounts

Virkning: En app kan være i stand til å få tilgang til informasjon om en brukers kontakter

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et problem ble løst gjennom forbedret behandling av midlertidige filer.

CVE-2024-44181: Kirin(@Pwnrin) og LFY(@secsys) fra Fudan University

mDNSResponder

Virkning: En app kan være i stand til å forårsake tjenestenekt

Beskrivelse: En logikkfeil ble løst gjennom forbedret feilhåndtering.

CVE-2024-44183: Olivier Levon

Model I/O

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

CVE-2023-5841

Music

Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-27858: Meng Zhang (鲸落) fra NorthSea, Csaba Fitzl (@theevilbit) fra Kandji

Oppføring oppdatert 28. oktober 2024

Maps

Virkning: En app kan være i stand til å overskrive vilkårlige filer

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2024-44167: ajajfxhj

Notification Center

Virkning: En skadelig app kan få tilgang til varslinger fra brukerens enhet

Beskrivelse: Et personvernproblem ble løst ved å flytte sensitive opplysninger til et beskyttet sted.

CVE-2024-40838: Brian McNulty, Cristian Dinca hos «Tudor Vianu» National High School of Computer Science i Romania, Vaibhav Prajapati

NSColor

Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata

Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.

CVE-2024-44186: en anonym forsker

OpenSSH

Virkning: Flere problemer i OpenSSH

CVE-2024-39894

PackageKit

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Problemet ble løst gjennom forbedret symlink-validering.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Virkning: Ved bruk av forhåndsvisning kan et ukryptert dokument bli skrevet til en midlertidig fil

Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av filer.

CVE-2024-40826: en anonym forsker

Quick Look

Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-44149: Wojciech Regula fra SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) fra Kandji

Oppføring oppdatert 28. oktober 2024

Safari

Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Virkning: Skadelig nettinnhold kan være i strid med sandkasseretningslinjene for iFrame

Beskrivelse: Et problem med håndtering av egendefinert URL-oppsett ble løst med forbedret inndatavalidering.

CVE-2024-44155: Narendra Bhati, Manager of Cyber Security fra Suma Soft Pvt. Ltd, Pune (India)

Oppføring lagt til 28. oktober 2024

Sandbox

Virkning: En skadelig app kan kanskje lekke sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Virkning: Et skadelig program kan få tilgang til privat informasjon

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Virkning: Et program kan få tilgang til brukerens bildebibliotek

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula fra SecuRing (wojciechregula.blog), Kirin (@Pwnrin) fra NorthSea

Oppføring lagt til 28. oktober 2024

SceneKit

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.

CVE-2024-44144: 냥냥

Oppføring lagt til 28. oktober 2024

Screen Capture

Virkning: En angriper med fysisk tilgang kan klare å dele elementer fra låst skjerm

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44137: Halle Winkler, Politepix @hallewinkler

Oppføring lagt til 28. oktober 2024

Screen Capture

Virkning: En angriper kan se begrenset innhold på låst skjerm

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44174: Vivek Dhar

Oppføring lagt til 28. oktober 2024

Security

Virkning: En skadelig app med rotrettigheter kan få tilgang til tastaturinndata og posisjonsinformasjon uten brukerens samtykke

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-44123: Wojciech Regula fra SecuRing (wojciechregula.blog)

Oppføring lagt til 28. oktober 2024

Security Initialization

Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), anonym forsker

Shortcuts

Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Virkning: En snarvei kan dele sensitive brukerdata uten samtykke

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Virkning: En app kan være i stand til å observere data som vises til brukeren med snarveier

Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av midlertidige filer.

CVE-2024-40844: Kirin (@Pwnrin) og luckyu (@uuulucky) fra NorthSea

Sidecar

Virkning: En angriper med fysisk tilgang til en macOS-enhet der Sidecar er aktivert, kan være i stand til å omgå låst skjerm

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44145: Om Kothawade, Omar A. Alanis fra UNTHSC College of Pharmacy

Oppføring lagt til 28. oktober 2024

Siri

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et personvernproblem ble løst ved å flytte sensitive opplysninger til et sikrere sted.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) og LFY (@secsys) fra Fudan University

System Settings

Virkning: En app kan være i stand til å lese vilkårlige filer

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Virkning: På MDM-administrerte enheter kan en app omgå enkelte personvernpreferanser

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) hos Microsoft

Transparency

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-40859: Csaba Fitzl (@theevilbit) fra Kandji

Oppføring oppdatert 28. oktober 2024

Vim

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

CVE-2024-41957

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Problemet ble løst med et forbedret brukergrensesnitt.

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh og YoKo Kho (@yokoacc) fra HakTrak

WebKit

Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

Beskrivelse: Det var et problem på tvers av opprinnelsessteder i «iframe»-elementer. Problemet ble løst gjennom forbedret sporing av sikkerhetsopphav.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Virkning: En bruker uten rettigheter kan endre begrensede nettverksinnstillinger

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Virkning: Et program kan være i stand til å forårsake tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-44134

Wi-Fi

Virkning: En angriper kan tvinge en enhet til å koble seg fra et sikkert nettverk

Beskrivelse: Et integritetsproblem ble løst med blussbeskyttelse.

CVE-2024-40856: Domien Schepers

WindowServer

Virkning: Et logikkproblem fantes der en prosess kan ta opp skjerminnhold uten brukerens tillatelse

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44189: Tim Clem

WindowServer

Virkning: Et program kan være i stand til å omgå enkelte personvernpreferanser

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44208: en anonym forsker

Oppføring lagt til 28. oktober 2024

XProtect

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et problem ble løst ved å forbedre valideringen av miljøvariabler.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Ytterligere anerkjennelser

Admin Framework

Vi vil gjerne takke Csaba Fitzl (@theevilbit) hos Kandji for hjelpen.

Oppføring oppdatert 28. oktober 2024

AirPort

Vi vil gjerne takke David Dudok de Wit for hjelpen.

Oppføring oppdatert 28. oktober 2024

APFS

Vi vil gjerne takke Georgi Valkov hos httpstorm.com for hjelpen.

App Store

Vi vil gjerne takke Csaba Fitzl (@theevilbit) hos Kandji for hjelpen.

Oppføring oppdatert 28. oktober 2024

AppKit

Vi vil gjerne takke @08Tc3wBB hos Jamf for hjelpen.

Apple Neural Engine

Vi vil gjerne takke Jiaxun Zhu (@svnswords) og Minghao Lin (@Y1nKoc) for hjelpen.

Automator

Vi vil gjerne takke Koh M. Nakagawa (@tsunek0h) for hjelpen.

Core Bluetooth

Vi vil gjerne takke Nicholas C. hos Onymos Inc. (onymos.com) for hjelpen.

Core Services

Vi vil gjerne takke Cristian Dinca hos «Tudor Vianu» National High School of Computer Science i Romania, Kirin (@Pwnrin) og 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, Zhongquan Li (@Guluisacat) for hjelpen.

CUPS

Vi vil gjerne takke moein abas for hjelpen.

Oppføring lagt til 28. oktober 2024

Disk Utility

Vi vil gjerne takke Csaba Fitzl (@theevilbit) hos Kandji for hjelpen.

dyld

Vi vil gjerne takke Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi fra Shielder (shielder.com) for hjelpen.

Oppføring lagt til 28. oktober 2024

FileProvider

Vi vil gjerne takke Kirin (@Pwnrin) for hjelpen.

Foundation

Vi vil gjerne takke Ostorlab for hjelpen.

Kernel

Vi vil gjerne takke Braxton Anderson og Fakhri Zulkifli (@d0lph1n98) hos PixiePoint Security for hjelpen.

libxpc

Vi vil gjerne takke Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) for hjelpen.

LLVM

Vi vil gjerne takke Victor Duta ved Universiteit Amsterdam, Fabio Pagani ved University of California i Santa Barbara, Cristiano Giuffrida ved Universiteit Amsterdam, Marius Muench og Fabian Freyer for hjelpen.

Maps

Vi vil gjerne takke Kirin (@Pwnrin) for hjelpen.

Music

Vi vil gjerne takke Khiem Tran hos databaselog.com/khiemtran, K宝 og LFY@secsys ved Fudan University, Yiğit Can YILMAZ (@yilmazcanyigit) for hjelpen.

Notification Center

Vi vil gjerne takke Kirin (@Pwnrin) og LFYSec for hjelpen.

Oppføring lagt til 28. oktober 2024

Notifications

Vi vil gjerne takke en anonym forsker for hjelpen.

PackageKit

Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Kandji, Mickey Jin (@patch1t), Zhongquan Li (@Guluisacat) for hjelpen.

Oppføring oppdatert 28. oktober 2024

Passord

Vi vil gjerne takke Richard Hyunho Im (@r1cheeta) for hjelpen.

Disk Utility

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) ved Lakshmi Narain College of Technology Bhopal i India, Harsh Tyagi og Leandro Chaves for hjelpen.

Podcasts

Vi vil gjerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjelpen.

Quick Look

Vi vil gjerne takke Zhipeng Huo (@R3dF09) hos Tencent Security Xuanwu Lab (xlab.tencent.com) for hjelpen.

Safari

Vi vil gjerne takke Hafiizh og YoKo Kho (@yokoacc) ved HakTrak, Junsung Lee, Shaheen Fazim for hjelpen.

Sandbox

Vi vil gjerne takke Cristian Dinca fra «Tudor Vianu» National High School of Computer Science i Romania for hjelpen.

Oppføring oppdatert 28. oktober 2024

Screen Capture

Vi vil gjerne takke Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) og en anonym forsker for hjelpen.

Shortcuts

Vi vil gjerne takke Cristian Dinca of «Tudor Vianu» National High School of Computer Science i Romania, Jacob Braun, en anonym forsker.

Siri

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, Rohan Paudel, en anonym forsker for hjelpen.

Oppføring oppdatert 28. oktober 2024

SystemMigration

Vi vil gjerne takke Jamey Wicklund, Kevin Jansen og en anonym forsker for hjelpen.

TCC

Vi vil gjerne takke Noah Gregory (wts.dev), Vaibhav Prajapati for hjelpen.

UIKit

Vi vil gjerne takke Andr.Ess for hjelpen.

Voice Memos

Vi vil gjerne takke Lisa B for hjelpen.

WebKit

Vi vil gjerne takke Avi Lumelsky fra Oligo Security, Uri Katz fra Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle – Rıza Sabuncu for hjelpen.

Oppføring oppdatert 28. oktober 2024

Wi-Fi

Vi vil gjerne takke Antonio Zekic (@antoniozekic) og ant4g0nist, Tim Michaud (@TimGMichaud) hos Moveworks.ai for hjelpen.

WindowServer

Vi vil gjerne takke Felix Kratz for hjelpen.

Oppføring oppdatert 28. oktober 2024

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: 04. november 2024