Сведения о проблемах системы безопасности, устраняемых обновлением macOS Sequoia 15

В этом документе описаны проблемы системы безопасности, устраняемые в macOS Sequoia 15.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

macOS Sequoia 15

Accounts

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может вызвать утечку конфиденциальных пользовательских данных.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-44129

Accounts

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема устранена путем улучшения логики разрешений.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Вредоносное приложение может изменять настройки сети.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

APFS

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Вредоносное приложение с привилегиями root может изменять содержимое системных файлов.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение с правами root может получать доступ к личной информации.

Описание. Проблема устранена путем улучшения защиты данных.

CVE-2024-44130

App Intents

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным, зарегистрированным в журнале, когда не удается запустить другое приложение с помощью быстрой команды.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.

CVE-2024-44154: Michael DePlante (@izobashi) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

AppleGraphicsControl

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обработка вредоносного видеофайла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-40845: Pwn2car в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2024-40846: Michael DePlante (@izobashi) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

AppleMobileFileIntegrity

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема устранена путем улучшения проверок.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена c помощью дополнительных ограничений на подпись кода.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Злоумышленник может прочитать конфиденциальную информацию.

Описание. Проблема с переходом на более раннюю версию устранена c помощью дополнительных ограничений на подпись кода.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с внедрением библиотеки устранена путем добавления дополнительных ограничений.

CVE-2024-44168: Claudio Bozzato и Francesco Benvenuto из Cisco Talos

AppleVA

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-27860: Michael DePlante (@izobashi) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2024-27861: Michael DePlante (@izobashi) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

AppleVA

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обработка вредоносного видеофайла может приводить к неожиданному завершению работы приложения.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2024-40841: Michael DePlante (@izobashi) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

AppSandbox

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Расширение камеры может получать доступ к интернету.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-27795: Halle Winkler, Politepix @hallewinkler

AppSandbox

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к защищенным файлам в контейнере App Sandbox.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем улучшенной обработки символических ссылок.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. При обработке вредоносного файла возможно повреждение динамической памяти.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-44126: Holger Fuhrmannek

Automator

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Рабочий процесс быстрого действия Automator может обойти Gatekeeper.

Описание. Эта проблема была устранена посредством добавления дополнительного запроса для подтверждения согласия пользователя.

CVE-2024-44128: Anton Boegler

bless

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Злоумышленник может записывать произвольные файлы при распаковке вредоносного архива.

Описание. Условие состязания устранено путем улучшения блокировки.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может записывать экран без индикатора.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-27869: анонимный исследователь

Control Center

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Индикаторы конфиденциальности камеры и микрофона могут неправильно атрибутироваться.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема с логикой устранена путем улучшенной обработки файлов.

CVE-2024-44146: анонимный исследователь

Core Data

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2024-27849: пользователь Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

CUPS

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на cve.org.

CVE-2023-4504

DiskArbitration

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение в изолированной среде может получать доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-40855: Csaba Fitzl (@theevilbit) из Kandji

Disk Images

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем улучшенной проверки атрибутов файла.

CVE-2024-44148: анонимный исследователь

Dock

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема конфиденциальности устранена путем удаления конфиденциальных данных.

CVE-2024-44177: анонимный исследователь

FileProvider

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2024-44131: @08Tc3wBB из Jamf

Game Center

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема с файловым доступом устранена путем улучшенной проверки ввода.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к медиатеке пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема чтения за границами выделенной области памяти устранена за счет оптимизации проверки ввода.

CVE-2024-27880: Junsung Lee

ImageIO

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обработка изображения может приводить к отказу в обслуживании.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2024-44176: dw0r из ZeroPointer Lab в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative, анонимный исследователь

Installer

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обработка вредоносной текстуры может приводить к неожиданному завершению работы приложения.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2024-44160: Michael DePlante (@izobashi) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

Intel Graphics Driver

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обработка вредоносной текстуры может приводить к неожиданному завершению работы приложения.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2024-44161: Michael DePlante (@izobashi) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

IOSurfaceAccelerator

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-44169: Antonio Zekić

Kernel

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Сетевой трафик может утекать за пределы VPN-туннеля.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2024-44165: Andrew Lytvynov

Kernel

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2024-44175: Csaba Fitzl (@theevilbit) из Kandji

Kernel

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить несанкционированный доступ к Bluetooth

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) и Mathy Vanhoef

LaunchServices

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может выходить за границы песочницы

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2024-44122: анонимный исследователь

libxml2

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2024-44198: пользователь OSS-Fuzz, Ned Williamson из Google Project Zero

Mail Accounts

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к информации о контактах пользователя.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема устранена путем улучшенной обработки временных файлов.

CVE-2024-44181: Kirin (@Pwnrin) и LFY (@secsys) из Университета Фудань

mDNSResponder

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Логическая ошибка устранена путем улучшенной обработки файлов.

CVE-2024-44183: Olivier Levon

Model I/O

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на cve.org.

CVE-2023-5841

Music

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-27858: Meng Zhang (鲸落) из NorthSea, Csaba Fitzl (@theevilbit) из Kandji

Notes

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может перезаписывать произвольные файлы.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2024-44167: ajajfxhj

Notification Center

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Вредоносное приложение может получать доступ к уведомлениям с устройства пользователя.

Описание. Проблема конфиденциальности была устранена путем переноса важных данных в защищенное место.

CVE-2024-40838: Brian McNulty, Cristian Dinca из Национальной средней школы компьютерных наук Tudor Vianu (Румыния), Vaibhav Prajapati

NSColor

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2024-44186: анонимный исследователь

OpenSSH

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обнаружен ряд проблем в OpenSSH.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на cve.org.

CVE-2024-39894

PackageKit

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. При использовании функции предварительного просмотра печати незашифрованные документы могут записываться во временные файлы.

Описание. Проблема конфиденциальности устранена путем улучшенной обработки файлов.

CVE-2024-40826: анонимный исследователь

Quick Look

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-44149: Wojciech Regula из SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) из Kandji

Safari

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Вредоносное веб-содержимое может нарушить политику iframe sandbox.

Описание. Проблема обработки пользовательской схемы URL-адресов решена посредством улучшения проверки ввода.

CVE-2024-44155: Narendra Bhati, руководитель отдела кибербезопасности Suma Soft Pvt. Ltd, Пуна (Индия)

Sandbox

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Вредоносное приложение может вызвать утечку конфиденциальных данных пользователя.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Вредоносное приложение может получить доступ к личной информации.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к медиатеке пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula из SecuRing (wojciechregula.blog), пользователь Kirin (@Pwnrin) из NorthSea

SceneKit

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема переполнения буфера устранена путем улучшенной проверки размера.

CVE-2024-44144: 냥냥

Screen Capture

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Злоумышленник с физическим доступом может иметь возможность делиться объектами с экрана блокировки.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-44137: Halle Winkler (@hallewinkler) из Politepix

Screen Capture

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Злоумышленник может просматривать содержимое с ограниченным доступом на экране блокировки.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-44174: Vivek Dhar

Security

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Вредоносное приложение с привилегиями пользователя root может получать доступ к данным, вводимым с помощью клавиатуры, и сведениям о местоположении без согласия пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-44123: Wojciech Regula из SecuRing (wojciechregula.blog)

Security Initialization

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), анонимный исследователь

Shortcuts

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. При использовании сочетания клавиш может происходить вывод конфиденциальных данных без согласия пользователя.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может видеть данные, отображаемые для пользователя с помощью быстрых команд.

Описание. Проблема конфиденциальности устранена путем улучшенной обработки временных файлов.

CVE-2024-40844: Kirin (@Pwnrin) и luckyu (@uuulucky) из NorthSea

Sidecar

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Злоумышленник с физическим доступом к устройству macOS, на котором включена функция Sidecar, может обходить экран блокировки.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-44145: Om Kothawade и Omar A. Alanis из Фармацевтического колледжа UNTHSC

Siri

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема конфиденциальности была решена путем переноса важных данных в более защищенное место.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) и LFY (@secsys) из Университета Фудань

System Settings

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может считывать произвольные файлы.

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. На устройствах, управляемых через MDM, приложение может обходить определенные настройки конфиденциальности.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) из Microsoft

Transparency

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-40859: Csaba Fitzl (@theevilbit) из Kandji

Vim

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на cve.org.

CVE-2024-41957

WebKit

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-40857: Ron Masas

WebKit

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Проблема устранена путем улучшения пользовательского интерфейса.

CVE-2024-40866: Hafiizh и YoKo Kho (@yokoacc) из HakTrak

WebKit

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Вредоносный веб-сайт может вызывать утечку данных в другой домен.

Описание. Возникала проблема с перекрестными источниками, связанными с элементами iFrame. Проблема устранена путем улучшения отслеживания источников безопасности.

CVE-2024-44187: Narendra Bhati, руководитель отдела кибербезопасности Suma Soft Pvt. Ltd, Пуна (Индия)

Wi-Fi

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Непривилегированный пользователь может изменять настройки ограничения доступа к сети.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным о геопозиции.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2024-44134

Wi-Fi

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Злоумышленник может заставить устройство отключиться от защищенной сети.

Описание. Проблема целостности устранена с помощью Beacon Protection.

CVE-2024-40856: Domien Schepers

WindowServer

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Из-за проблемы с логикой процесс может записывать содержимое экрана без согласия пользователя.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-44189: Tim Clem

WindowServer

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может обходить определенные настройки конфиденциальности.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-44208: анонимный исследователь

XProtect

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема устранена путем улучшенной проверки переменных среды.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Целевые продукты: Mac Studio (2022 г. и более поздние модели), iMac (2019 г. и более поздние модели), Mac Pro (2019 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), MacBook Air (2020 г. и более поздние модели), MacBook Pro (2018 г. и более поздние модели) и iMac Pro (2017 г. и более поздние модели)

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Дополнительные благодарности

Admin Framework

Выражаем благодарность за помощь Csaba Fitzl (@theevilbit) из Kandji.

Airport

Выражаем благодарность за помощь David Dudok de Wit.

APFS

Выражаем благодарность за помощь Georgi Valkov из httpstorm.com.

App Store

Выражаем благодарность за помощь Csaba Fitzl (@theevilbit) из Kandji.

AppKit

Выражаем благодарность за помощь @08Tc3wBB из Jamf.

Apple Neural Engine

Выражаем благодарность за помощь Jiaxun Zhu (@svnswords) и Minghao Lin (@Y1nKoc).

Automator

Выражаем благодарность за помощь Koh M. Nakagawa (@tsunek0h).

Core Bluetooth

Выражаем благодарность за помощь Nicholas C. из Onymos Inc. (onymos.com).

Core Services

Выражаем благодарность за помощь Cristian Dinca из Национальной средней школы компьютерных наук Tudor Vianu (Румыния), Kirin (@Pwnrin), 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos и Zhongquan Li (@Guluisacat).

CUPS

Выражаем благодарность за помощь пользователю moein abas.

Disk Utility

Выражаем благодарность за помощь Csaba Fitzl (@theevilbit) из Kandji.

dyld

Выражаем благодарность за помощь пользователям Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi из Shielder (shielder.com).

FileProvider

Выражаем благодарность за помощь пользователю Kirin (@Pwnrin).

Foundation

Выражаем благодарность за помощь компании Ostorlab.

Kernel

Выражаем благодарность за помощь Braxton Anderson и Fakhri Zulkifli (@d0lph1n98) из PixiePoint Security.

libxpc

Выражаем благодарность за помощь Rasmus Sten и F-Secure (Mastodon: @pajp@blog.dll.nu).

LLVM

Выражаем благодарность за помощь Victor Duta из Амстердамского университета, Fabio Pagani из Калифорнийского университета, Santa Barbara, Cristiano Giuffrida из Амстердамского университета, Marius Muench и Fabian Freyer.

Maps

Выражаем благодарность за помощь пользователю Kirin (@Pwnrin).

Music

Выражаем благодарность за помощь Khiem Tran из databaselog.com/khiemtran, K宝 и LFY@secsys из Университета Фудань, Yiğit Can YILMAZ (@yilmazcanyigit).

Notification Center

Выражаем благодарность за помощь пользователям Kirin (@Pwnrin) и LFYSec.

Notifications

Выражаем благодарность за помощь анонимному исследователю.

PackageKit

Выражаем благодарность за помощь пользователям Csaba Fitzl (@theevilbit) из Kandji, Mickey Jin (@patch1t) и Zhongquan Li (@Guluisacat).

Passwords

Выражаем благодарность за помощь Richard Hyunho Im (@r1cheeta).

Photos

Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараяна (Бхопал, Индия), Harsh Tyagi и Leandro Chaves.

Podcasts

Выражаем благодарность за помощь Yiğit Can YILMAZ (@yilmazcanyigit).

Quick Look

Выражаем благодарность за помощь Zhipeng Huo (@R3dF09) из Tencent Security Xuanwu Lab (xlab.tencent.com).

Safari

Выражаем благодарность за помощь Hafiizh и YoKo Kho (@yokoacc) из HakTrak, Junsung Lee и Shaheen Fazim.

Sandbox

Выражаем благодарность за помощь Cristian Dinca из Национальной средней школы компьютерных наук Tudor Vianu, Румыния.

Screen Capture

Выражаем благодарность за помощь Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) и анонимному исследователю.

Shortcuts

Выражаем благодарность за помощь Cristian Dinca из Национальной средней школы компьютерных наук Tudor Vianu (Румыния), Jacob Braun и анонимному исследователю.

Siri

Выражаем благодарность за помощь пользователям Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараяна (Бхопал, Индия), Rohan Paudel и анонимному исследователю.

SystemMigration

Выражаем благодарность за помощь Jamey Wicklund, Kevin Jansen и анонимному исследователю.

TCC

Выражаем благодарность за помощь Noah Gregory (wts.dev) и Vaibhav Prajapati.

UIKit

Выражаем благодарность за помощь Andr.Ess.

Voice Memos

Выражаем благодарность за помощь Lisa B.

WebKit

Выражаем благодарность за помощь пользователям Avi Lumelsky из Oligo Security, Uri Katz из Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle и Rıza Sabuncu.

Wi-Fi

Выражаем благодарность за помощь Antonio Zekic (@antoniozekic), ant4g0nist и Tim Michaud (@TimGMichaud) из Moveworks.ai.

WindowServer

Выражаем благодарность за помощь пользователю Felix Kratz.