Zawartość związana z zabezpieczeniami w systemie macOS Sequoia 15

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Sequoia 15.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Sequoia 15

Accounts

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie ujawnić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-44129

Accounts

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: błąd naprawiono przez poprawienie procedur obsługi procesów logicznych uprawnień.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: złośliwa aplikacja może być w stanie zmienić ustawienia sieci.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

APFS

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: złośliwa aplikacja z uprawnieniami użytkownika root może być w stanie zmodyfikować zawartość plików systemowych

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja z uprawnieniami administratora może uzyskać dostęp do prywatnych informacji.

Opis: ten błąd naprawiono przez ulepszenie ochrony danych.

CVE-2024-44130

App Intents

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może uzyskać dostęp do poufnych danych zarejestrowanych, gdy skrót nie uruchomi innej aplikacji.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2024-44154: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

AppleGraphicsControl

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-40845: Pwn2car w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2024-40846: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

AppleMobileFileIntegrity

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie obejść ustawienia prywatności.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: błąd naprawiono przez dodatkowe ograniczenia podpisywania kodu.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: osoba atakująca może być w stanie odczytać poufne informacje.

Opis: naprawiono błąd degradacji przez wprowadzenie dodatkowych ograniczeń dotyczących podpisywania kodu.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd dotyczący wstawiania biblioteki przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-44168: Claudio Bozzato i Francesco Benvenuto z Cisco Talos

AppleVA

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-27860: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2024-27861: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

AppleVA

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2024-40841: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

AppSandbox

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: rozszerzenie aparatu może być w stanie uzyskać dostęp do internetu.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-27795: Halle Winkler, Politepix @hallewinkler

AppSandbox

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych plików w kontenerze App Sandbox.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do uszkodzenia sterty.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-44126: Holger Fuhrmannek

Automator

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przepływ zadań w szybkiej czynności Automatora może ominąć kontrole funkcji Gatekeeper.

Opis: ten błąd rozwiązano przez wprowadzenie dodatkowego monitu o zgodę użytkownika.

CVE-2024-44128: Anton Boegler

bless

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może umożliwić osobie atakującej zapisanie dowolnych plików.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie zarejestrować ekran bez wskaźnika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-27869: anonimowy badacz

Control Center

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: wskaźniki prywatności dotyczące dostępu do mikrofonu lub aparatu mogą być nieprawidłowo przypisywane.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd logiczny przez poprawienie procedury obsługi plików.

CVE-2024-44146: anonimowy badacz

Core Data

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

CUPS

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE na stronie cve.org.

CVE-2023-4504

DiskArbitration

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja w piaskownicy może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-40855: Csaba Fitzl (@theevilbit) z Kandji

Disk Images

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez lepsze sprawdzanie atrybutów pliku.

CVE-2024-44148: anonimowy badacz

Dock

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez usunięcie poufnych danych.

CVE-2024-44177: anonimowy badacz

FileProvider

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2024-44131: @08Tc3wBB z Jamf

Game Center

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd dostępu do pliku przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do biblioteki zdjęć użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-27880: Junsung Lee

ImageIO

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2024-44176: dw0r z ZeroPointer Lab w ramach programu Zero Day Initiative firmy Trend Micro, anonimowy badacz

Installer

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie złośliwie spreparowanej tekstury może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2024-44160: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

Intel Graphics Driver

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie złośliwie spreparowanej tekstury może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2024-44161: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

IOSurfaceAccelerator

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-44169: Antonio Zekić

Kernel

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: ruch sieciowy może wyciekać poza tunel VPN.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2024-44165: Andrew Lytvynov

Kernel

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2024-44175: Csaba Fitzl (@theevilbit) z Kandji

Kernel

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może uzyskać nieautoryzowany dostęp do Bluetooth.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef

LaunchServices

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2024-44122: anonimowy badacz

libxml2

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-44198: OSS-Fuzz, Ned Williamson z Google Project Zero

Mail Accounts

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do informacji o kontaktach użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: rozwiązano problem przez ulepszenie obsługi plików tymczasowych.

CVE-2024-44181: Kirin(@Pwnrin) i LFY(@secsys) z Fudan University

mDNSResponder

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd logiczny przez poprawienie obsługi błędów.

CVE-2024-44183: Olivier Levon

Model I/O

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE na stronie cve.org.

CVE-2023-5841

Music

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-27858: Meng Zhang (鲸落) z NorthSea, Csaba Fitzl (@theevilbit) z Kandji

Notes

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie nadpisywać arbitralnie wybrane pliki.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2024-44167: ajajfxhj

Notification Center

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: złośliwa aplikacja może być w stanie odbierać powiadomienia z urządzenia użytkownika.

Opis: rozwiązano problem z prywatnością przez przeniesienie poufnych danych do zabezpieczonej lokalizacji.

CVE-2024-40838: Brian McNulty, Cristian Dinca z "Tudor Vianu" National High School z Computer Science, Romania, Vaibhav Prajapati

NSColor

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2024-44186: anonimowy badacz

OpenSSH

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: liczne błędy w protokole OpenSSH

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE na stronie cve.org.

CVE-2024-39894

PackageKit

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: podczas korzystania z podglądu wydruku może dojść do zapisania niezaszyfrowanego dokumentu w pliku tymczasowym.

Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików.

CVE-2024-40826: anonimowy badacz

Quick Look

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-44149: Wojciech Reguła z SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) z Kandji

Safari

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: złośliwie spreparowana zawartość www może naruszać zasady piaskownicy iframe.

Opis: rozwiązano problem z obsługą własnego schematu adresu URL przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-44155: Narendra Bhati, menedżer ds. cyberbezpieczeństwa w Suma Soft Pvt. Ltd, Pune (India).

Sandbox

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: złośliwa aplikacja może być w stanie ujawnić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do biblioteki zdjęć użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Reguła z SecuRing (wojciechregula.blog), Kirin (@Pwnrin) z NorthSea

SceneKit

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.

CVE-2024-44144: 냥냥

Screen Capture

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: osoba atakująca mająca fizyczny dostęp może udostępniać elementy z poziomu ekranu blokady.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-44137: Halle Winkler, Politepix @hallewinkler

Screen Capture

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: osoba atakująca może być w stanie przeglądać treści objęte ograniczeniami z poziomu zablokowanego ekranu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-44174: Vivek Dhar

Security

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: złośliwa aplikacja z uprawnieniami użytkownika root może uzyskać dostęp do danych wprowadzanych z klawiatury i informacji o lokalizacji bez zgody użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-44123: Wojciech Reguła z SecuRing (wojciechregula.blog)

Security Initialization

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), anonimowy badacz

Shortcuts

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: skrót może wyświetlić poufne dane użytkownika bez jego zgody.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie obserwować dane wyświetlane użytkownikowi przez Skróty.

Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików tymczasowych.

CVE-2024-40844: Kirin (@Pwnrin) i luckyu (@uuulucky) z NorthSea

Sidecar

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: osoba atakująca mająca fizyczny dostęp do urządzenia z systemem macOS z włączoną funkcją Sidecar może być w stanie ominąć ekran blokady.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-44145: Om Kothawade, Omar A. Alanis z UNTHSC College of Pharmacy

Siri

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez przeniesienie poufnych danych do bezpieczniejszej lokalizacji.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) i LFY (@secsys) z Fudan University

System Settings

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie odczytywać arbitralnie wybrane pliki.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: na urządzeniach zarządzanych przez MDM aplikacja może być w stanie ominąć określone preferencje prywatności.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) z Microsoft

Transparency

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-40859: Csaba Fitzl (@theevilbit) z Kandji

Vim

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE na stronie cve.org.

CVE-2024-41957

WebKit

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może spowodować atak UXSS (universal cross site scripting).

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-40857: Ron Masas

WebKit

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: ten błąd naprawiono przez ulepszenie interfejsu użytkownika.

CVE-2024-40866: Hafiizh i YoKo Kho (@yokoacc) z HakTrak

WebKit

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.

Opis: z elementami iframe występował błąd obsługi różnych źródeł. Ten błąd rozwiązano przez poprawienie mechanizmu śledzenia źródeł informacji dotyczących zabezpieczeń.

CVE-2024-44187: Narendra Bhati, Manager z Cyber Security at Suma Soft Pvt. Ltd, Pune (India).

Wi-Fi

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: użytkownik bez uprawnień może być w stanie zmodyfikować ustawienia sieci z ograniczeniami

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2024-44134

Wi-Fi

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: osoba atakująca może być w stanie wymusić rozłączenie urządzenia z bezpieczną siecią.

Opis: naprawiono błąd dotyczący spójności przez wprowadzenie ochrony sygnalizatorów.

CVE-2024-40856: Domien Schepers

WindowServer

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: wskutek błędu logicznego proces może być w stanie przechwycić zawartość ekranu bez zgody użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-44189: Tim Clem

WindowServer

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie ominąć niektóre preferencje dotyczące prywatności.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-44208: anonimowy badacz

XProtect

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania poprawności zmiennych środowiskowych.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Dostępne dla: Mac Studio (2022 r. i nowszy), iMac (2019 r. i nowszy), Mac Pro (2019 r. i nowszy), Mac mini (2018 r. i nowszy), MacBook Air (2020 r. i nowszy), MacBook Pro (2018 r. i nowszy) oraz iMac Pro (2017 r. i nowszy)

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Dodatkowe podziękowania

Admin Framework

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Kandji.

Airport

Dziękujemy za udzieloną pomoc: David Dudok de Wit.

APFS

Dziękujemy za udzieloną pomoc: Georgi Valkov z httpstorm.com.

App Store

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Kandji.

AppKit

Dziękujemy za udzieloną pomoc: @08Tc3wBB z Jamf.

Apple Neural Engine

Dziękujemy za udzieloną pomoc: Jiaxun Zhu (@svnswords) i Minghao Lin (@Y1nKoc).

Automator

Dziękujemy za udzieloną pomoc: Koh M. Nakagawa (@tsunek0h).

Core Bluetooth

Dziękujemy za udzieloną pomoc: Nicholas C. z Onymos Inc. (onymos.com).

Core Services

Dziękujemy za udzieloną pomoc: Cristian Dinca z "Tudor Vianu" National High School z Computer Science, Romania, Kirin (@Pwnrin) i 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, Zhongquan Li (@Guluisacat).

CUPS

Dziękujemy za udzieloną pomoc: moein abas.

Disk Utility

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Kandji.

dyld

Dziękujemy za udzieloną pomoc: Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi z Shielder (shielder.com).

FileProvider

Dziękujemy za udzieloną pomoc: Kirin (@Pwnrin).

Foundation

Dziękujemy za udzieloną pomoc: Ostorlab.

Kernel

Dziękujemy za udzieloną pomoc: Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) z PixiePoint Security.

libxpc

Dziękujemy za udzieloną pomoc: Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu).

LLVM

Dziękujemy za udzieloną pomoc: Victor Duta z Universiteit Amsterdam, Fabio Pagani z University z California, Santa Barbara, Cristiano Giuffrida z Universiteit Amsterdam, Marius Muench i Fabian Freyer.

Maps

Dziękujemy za udzieloną pomoc: Kirin (@Pwnrin).

Music

Dziękujemy za udzieloną pomoc: Khiem Tran z databaselog.com/khiemtran, K宝 i LFY@secsys from Fudan University, Yiğit Can YILMAZ (@yilmazcanyigit).

Notification Center

Dziękujemy za udzieloną pomoc: Kirin (@Pwnrin) i LFYSec.

Notifications

Dziękujemy anonimowemu badaczowi za pomoc.

PackageKit

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Kandji, Mickey Jin (@patch1t), Zhongquan Li (@Guluisacat).

Passwords

Dziękujemy za udzieloną pomoc: Richard Hyunho Im (@r1cheeta).

Photos

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College z Technology Bhopal India, Harsh Tyagi, Leandro Chaves.

Podcasts

Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).

Quick Look

Dziękujemy za udzieloną pomoc: Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com).

Safari

Dziękujemy za udzieloną pomoc: Hafiizh i YoKo Kho (@yokoacc) z HakTrak, Junsung Lee, Shaheen Fazim.

Sandbox

Dziękujemy za udzieloną pomoc: Cristian Dinca z Tudor Vianu National High School of Computer Science, Rumunia.

Screen Capture

Dziękujemy za udzieloną pomoc: Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit), anonimowy badacz.

Shortcuts

Dziękujemy za udzieloną pomoc: Cristian Dinca z "Tudor Vianu" National High School z Computer Science, Romania, Jacob Braun, anonimowy badacz.

Siri

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, Rohan Paudel, anonimowy badacz.

SystemMigration

Dziękujemy za udzieloną pomoc: Jamey Wicklund, Kevin Jansen, anonimowy badacz.

TCC

Dziękujemy za udzieloną pomoc: Noah Gregory (wts.dev), Vaibhav Prajapati.

UIKit

Dziękujemy za udzieloną pomoc: Andr.Ess.

Voice Memos

Dziękujemy za udzieloną pomoc: Lisa B.

WebKit

Dziękujemy za udzieloną pomoc: Avi Lumelsky z Oligo Security, Uri Katz z Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle - Rıza Sabuncu.

Wi-Fi

Dziękujemy za udzieloną pomoc: Antonio Zekic (@antoniozekic) i ant4g0nist, Tim Michaud (@TimGMichaud) z Moveworks.ai.

WindowServer

Dziękujemy za udzieloną pomoc: Felix Kratz.