Despre conținutul de securitate din macOS Sequoia 15

Acest document descrie conținutul de securitate din macOS Sequoia 15.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

macOS Sequoia 15

Lansare: luni, 16 septembrie 2024

Accounts

Disponibilitate: Mac Studio (2022 și modele ulterioare), iMac (2019 și modele ulterioare), Mac Pro (2019 și modele ulterioare), Mac Mini (2018 și modele ulterioare), MacBook Air (2020 și modele ulterioare), MacBook Pro (2018 și modele ulterioare) și iMac Pro (2017 și modele ulterioare)

Impact: o aplicație poate scurge informații sensibile ale utilizatorilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44129

Accounts

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

Impact: o aplicație rău intenționată poate modifica setările de rețea

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

Intrare adăugată pe 28 octombrie 2024

APFS

Impact: o aplicație rău intenționată cu privilegii de rădăcină poate să modifice conținutul fișierelor de sistem

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Impact: o aplicație cu privilegii de rădăcină poate accesa informații private

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2024-44130

App Intents

Impact: o aplicație ar putea accesa datele sensibile înregistrate atunci când o scurtătură nu reușește să lanseze altă aplicație

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2024-44154: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

AppleGraphicsControl

Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-40845: Pwn2car în colaborare cu Trend Micro Zero Day Initiative

CVE-2024-40846: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

AppleMobileFileIntegrity

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: problema a fost remediată prin restricții suplimentare pentru semnarea codului.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Impact: un atacator ar putea citi informații sensibile

Descriere: o problemă de downgrade a fost rezolvată cu restricții suplimentare pentru semnarea codului.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de injectare la bibliotecă a fost remediată prin restricții suplimentare.

CVE-2024-44168: Claudio Bozzato și Francesco Benvenuto din cadrul Cisco Talos

AppleVA

Impact: o aplicație poate citi memorie restricționată

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-27860: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

CVE-2024-27861: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

AppleVA

Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-40841: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

AppSandbox

Impact: o extensie a camerei ar putea accesa internetul

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-27795: Halle Winkler, Politepix @hallewinkler

AppSandbox

Impact: o aplicație poate accesa fișiere protejate în cadrul unui container App Sandbox

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Impact: este posibil ca procesarea unei fișier creat cu rea intenție să poată provoca alterarea segmentului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44126: Holger Fuhrmannek

Intrare adăugată pe 28 octombrie 2024

Automator

Impact: un flux de lucru Quick Action din Automator ar putea fi capabil să ocolească Gatekeeper

Descriere: problema a fost remediată prin adăugarea unei solicitări suplimentare a acordului utilizatorului.

CVE-2024-44128: Anton Boegler

bless

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Impact: despachetarea unei arhive create cu rea intenție poate permite unui atacator să scrie fișiere arbitrare

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Impact: o aplicație ar putea fi capabilă să înregistreze ecranul fără un indicator

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27869: un cercetător anonim

Control Center

Impact: Indicatorii de confidențialitate pentru accesul la microfon sau cameră ar putea fi atribuiți incorect

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Impact: o aplicație poate evada din sandbox

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării fișierelor.

CVE-2024-44146: un cercetător anonim

Core Data

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

Intrare adăugată pe 28 octombrie 2024

CUPS

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.

CVE-2023-4504

DiskArbitration

Impact: o aplicație care rulează în sandbox poate accesa date confidențiale despre utilizatori

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-40855: Csaba Fitzl (@theevilbit) din cadrul Kandji

Intrare adăugată pe 28 octombrie 2024

Disk Images

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării atributelor de fișier.

CVE-2024-44148: un cercetător anonim

Dock

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de confidențialitate a fost remediată prin eliminarea datelor sensibile.

CVE-2024-44177: un cercetător anonim

FileProvider

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2024-44131: @08Tc3wBB de la Jamf

Game Center

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de acces la fișiere a fost remediată prin îmbunătățirea validării intrării.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Impact: o aplicație poate accesa Biblioteca foto a unui utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-27880: Junsung Lee

ImageIO

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-44176: dw0r de la ZeroPointer Lab în colaborare cu Trend Micro Zero Day Initiative, un cercetător anonim

Installer

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Impact: procesarea unei texturi create cu rea intenție ar putea cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2024-44160: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

Intel Graphics Driver

Impact: procesarea unei texturi create cu rea intenție ar putea cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-44161: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

IOSurfaceAccelerator

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-44169: Antonio Zekić

Kernel

Impact: traficul de rețea s-ar putea scurge în afara tunelului VPN

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2024-44175: Csaba Fitzl (@theevilbit) din cadrul Kandji

Intrare adăugată pe 28 octombrie 2024

Kernel

Impact: o aplicație poate obține acces neautorizat la Bluetooth

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) și Mathy Vanhoef

LaunchServices

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-44122: un cercetător anonim

Intrare adăugată pe 28 octombrie 2024

libxml2

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2024-44198: OSS-Fuzz, Ned Williamson de la Google Project Zero

Mail Accounts

Impact: o aplicație poate accesa informații despre contactele unui utilizator

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: a fost rezolvată o problemă printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2024-44181: Kirin(@Pwnrin) și LFY(@secsys) de la Fudan University

mDNSResponder

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: o eroare de logică a fost remediată prin îmbunătățirea gestionării erorilor.

CVE-2024-44183: Olivier Levon

Model I/O

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

CVE-2023-5841

Music

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-27858: Meng Zhang (鲸落) de la NorthSea, Csaba Fitzl (@theevilbit) de la Kandji

Intrare actualizată la data de 28 octombrie 2024

Notes

Impact: o aplicație poate suprascrie fișiere arbitrare

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2024-44167: ajajfxhj

Notification Center

Impact: o aplicație malițioasă ar putea fi capabilă să acceseze notificările de pe dispozitivul utilizatorului

Descriere: a fost rezolvată o problemă de confidențialitate prin mutarea datelor sensibile într-o locație protejată.

CVE-2024-40838: Brian McNulty, Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România, Vaibhav Prajapati

NSColor

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2024-44186: un cercetător anonim

OpenSSH

Impact: mai multe probleme în OpenSSH

CVE-2024-39894

PackageKit

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Impact: un document necriptat poate fi scris într-un fișier temporar atunci când se utilizează previzualizarea imprimării

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea gestionării fișierelor.

CVE-2024-40826: un cercetător anonim

Quick Look

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44149: Wojciech Regula de la SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) de la Kandji

Intrare actualizată la data de 28 octombrie 2024

Safari

Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Impact: conținutul site-urilor web create cu rea intenție poate încălca politica de sandboxing iframe

Descriere: prin optimizarea validării intrărilor, s-a rezolvat o problemă privind gestionarea schemei URL personalizate.

CVE-2024-44155: Narendra Bhati, Manager of Cyber Security la Suma Soft Pvt. Ltd, Pune (India)

Intrare adăugată pe 28 octombrie 2024

Sandbox

Impact: o aplicație rău intenționată poate scurge informații sensibile ale utilizatorilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Impact: este posibil ca o aplicație rău-intenționată să poată accesa informații private

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Impact: o aplicație poate accesa Biblioteca foto a unui utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula de la SecuRing (wojciechregula.blog), Kirin (@Pwnrin) de la NorthSea

Intrare adăugată pe 28 octombrie 2024

SceneKit

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2024-44144: 냥냥

Intrare adăugată pe 28 octombrie 2024

Screen Capture

Impact: un atacator cu acces fizic ar putea partaja elemente din ecranul de blocare

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44137: Halle Winkler, Politepix @hallewinkler

Intrare adăugată pe 28 octombrie 2024

Screen Capture

Impact: Un atacator ar putea vizualiza conținut restricționat din ecranul de blocare

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44174: Vivek Dhar

Intrare adăugată pe 28 octombrie 2024

Security

Impact: o aplicație rău intenționată, cu privilegii de rădăcină, poate accesa intrările de tastatură și informațiile despre locație, fără acordul utilizatorului

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44123: Wojciech Regula de la SecuRing (wojciechregula.blog)

Intrare adăugată pe 28 octombrie 2024

Security Initialization

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), un cercetător anonim

Shortcuts

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Impact: o scurtătură poate fi capabilă să trimită date sensibile despre utilizator fără acordul acestuia

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Impact: o aplicație ar putea observa datele afișate utilizatorului prin Scurtături

Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2024-40844: Kirin (@Pwnrin) și luckyu (@uuulucky) de la NorthSea

Sidecar

Impact: un atacator cu acces fizic la un dispozitiv cu macOS, cu Sidecar activat, poate ocoli ecranul de blocare

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44145: Om Kothawade, Omar A. Alanis de la UNTHSC College of Pharmacy

Intrare adăugată pe 28 octombrie 2024

Siri

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de confidențialitate prin mutarea datelor sensibile într-o locație mai securizată.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) și LFY (@secsys) de la Fudan University

System Settings

Impact: o aplicație poate citi fișiere arbitrare

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Impact: pe dispozitivele gestionate prin MDM, o aplicație ar putea fi capabilă să ocolească anumite preferințe de confidențialitate

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) de la Microsoft

Transparency

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-40859: Csaba Fitzl (@theevilbit) din cadrul Kandji

Intrare actualizată la data de 28 octombrie 2024

Vim

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

CVE-2024-41957

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: problema a fost remediată prin îmbunătățirea interfeței cu utilizatorul.

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh și YoKo Kho (@yokoacc) (HakTrak)

WebKit

Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

Descriere: în elementele „iframe” a existat o problemă legată de originile diferite. Aceasta a fost rezolvată prin îmbunătățirea urmăririi originilor de securitate.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager of Cyber Security la Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Impact: un utilizator neprivilegiat poate să modifice configurări de rețea restricționate

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2024-44134

Wi-Fi

Impact: Un atacator ar putea forța un dispozitiv să se deconecteze de la o rețea securizată

Descriere: O problemă de integritate a fost rezolvată cu protecția Beacon.

CVE-2024-40856: Domien Schepers

WindowServer

Impact: există o problemă de logică în care un proces ar putea fi capabil să captureze conținutul ecranului fără consimțământul utilizatorului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44189: Tim Clem

WindowServer

Impact: o aplicație ar putea să ocolească anumite preferințe de confidențialitate

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44208: un cercetător anonim

Intrare adăugată pe 28 octombrie 2024

XProtect

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă prin îmbunătățirea validării variabilelor de mediu.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Alte mențiuni

Admin Framework

Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) de la Kandji pentru asistență.

Intrare actualizată la data de 28 octombrie 2024

Airport

Dorim să îi mulțumim lui David Dudok de Wit pentru asistență.

Intrare actualizată la data de 28 octombrie 2024

APFS

Dorim să îi mulțumim lui Georgi Valkov de la httpstorm.com pentru asistență.

App Store

Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) de la Kandji pentru asistență.

Intrare actualizată la data de 28 octombrie 2024

AppKit

Dorim să îi mulțumim lui @08Tc3wBB de la Jamf pentru asistență.

Apple Neural Engine

Dorim să îi mulțumim lui Jiaxun Zhu (@svnswords) și Minghao Lin (@Y1nKoc) pentru asistență.

Automator

Dorim să-i mulțumim lui Koh M. Nakagawa (@tsunek0h) pentru asistență.

Core Bluetooth

Dorim să-i mulțumim lui Nicholas C. de la Onymos Inc. (onymos.com) pentru asistență.

Core Services

Dorim să-i mulțumim lui Cristian Dinca de la Liceul Național în Științele Computerului „Tudor Vianu”, România, Kirin (@Pwnrin) și 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, Zhongquan Li (@Guluisacat) pentru asistență.

CUPS

Dorim să îi mulțumim lui moein abas pentru asistența acordată.

Intrare adăugată pe 28 octombrie 2024

Disk Utility

Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) de la Kandji pentru asistență.

dyld

Dorim să le mulțumim lui Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi de la Shielder (shielder.com) pentru asistența acordată.

Intrare adăugată pe 28 octombrie 2024

FileProvider

Dorim să-i mulțumim lui Kirin (@Pwnrin) pentru asistența acordată.

Foundation

Dorim să îi mulțumim lui Ostorlab pentru asistență.

Kernel

Dorim să mulțumim în special lui Braxton Anderson și Fakhri Zulkifli (@d0lph1n98) de la PixiePoint Security pentru asistența acordată.

libxpc

Dorim să-i mulțumim lui Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) pentru asistența acordată.

LLVM

Dorim să-i mulțumim lui Victor Duta de la Universiteit Amsterdam, Fabio Pagani de la University of California, Santa Barbara, Cristiano Giuffrida de la Universiteit Amsterdam, Marius Muench, öi Fabian Freyer pentru asistență.

Maps

Dorim să-i mulțumim lui Kirin (@Pwnrin) pentru asistența acordată.

Music

Dorim să-i mulțumim lui Khiem Tran de la databaselog.com/khiemtran, K宝 și LFY@secsys de la Fudan University, și Yiğit Can YILMAZ (@yilmazcanyigit) pentru asistență.

Notification Center

Dorim să le mulțumim lui Kirin (@Pwnrin) și LFYSec pentru asistența acordată.

Intrare adăugată pe 28 octombrie 2024

Notifications

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

PackageKit

Dorim să le mulțumim lui Csaba Fitzl (@theevilbit) de la Kandji, Mickey Jin (@patch1t), Zhongquan Li (@Guluisacat) pentru asistență.

Intrare actualizată la data de 28 octombrie 2024

Passwords

Dorim să-i mulțumim lui Richard Hyunho Im (@r1cheeta) pentru asistență.

Photos

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi, Leandro Chaves pentru asistență.

Podcasts

Dorim să îi mulțumim lui Yiğit Can YILMAZ (@yilmazcanyigit) pentru asistență.

Quick Look

Dorim să îi mulțumim lui Zhipeng Huo (@R3dF09) de la Tencent Security Xuanwu Lab (xlab.tencent.com) pentru asistență.

Safari

Dorim să îi mulțumim lui Hafiizh și YoKo Kho (@yokoacc) de la HakTrak, Junsung Lee, și Shaheen Fazim pentru asistență.

Sandbox

Dorim să îi mulțumim lui Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România pentru asistența acordată.

Intrare actualizată la data de 28 octombrie 2024

Screen Capture

Dorim să-i mulțumim lui Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) și unui cercetător anonim pentru asistență.

Shortcuts

Dorim să îi mulțumim lui Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România și Jacob Braun, un cercetător anonim, pentru asistența acordată.

Siri

Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Rohan Paudel și unui cercetător anonim pentru asistență.

Intrare actualizată la data de 28 octombrie 2024

SystemMigration

Dorim să-i mulțumim lui Jamey Wicklund, Kevin Jansen și unui cercetător anonim pentru asistența acordată.

TCC

Dorim să-i mulțumim lui Noah Gregory (wts.dev), Vaibhav Prajapati pentru asistență.

UIKit

Dorim să îi mulțumim lui Andr.Ess pentru asistență.

Voice Memos

Dorim să îi mulțumim lui Lisa B pentru asistență.

WebKit

Dorim să le mulțumim lui Avi Lumelsky de la Oligo Security, Uri Katz de la Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle - Rıza Sabuncu pentru asistența acordată.

Intrare actualizată la data de 28 octombrie 2024

Wi-Fi

Dorim să îi mulțumim lui Antonio Zekic (@antoniozekic) și ant4g0nist, Tim Michaud (@TimGMichaud) de la Moveworks.ai pentru asistență.

WindowServer

Dorim să îi mulțumim lui Felix Kratz pentru asistența acordată.

Intrare actualizată la data de 28 octombrie 2024

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 04 noiembrie 2024