Obsah zabezpečenia v systéme macOS Sonoma 14.3

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Sonoma 14.3.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Sonoma 14.3

Apple Neural Engine

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-23212: Ye Zhang (Baidu Security)

CoreCrypto

Dostupné pre: macOS Sonoma

Dopad: Útočník môže byť schopný dešifrovať údaje zašifrované starším algoritmom RSA PKCS#1 v1.5 bez toho, aby mal súkromný kľúč

Popis: Dochádzalo k problému s časovaním vedľajšieho kanála, ktorý bol vyriešený vylepšením výpočtu časovej konštanty v kryptografických funkciách.

CVE-2024-23218: Clemens Lang

Finder

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-23224: Brian McNulty

Kernel

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-23208: fmyy (@binary_fmyy) a lime z tímu TIANGONG Team of Legendsec spoločnosti QI-ANXIN Group

libxpc

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-23201: Koh M. Nakagawa zo spoločnosti FFRI Security, Inc. a anonymný výskumník

LLVM

Dostupné pre: macOS Sonoma

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-23209

Mail Search

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-23207: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab) a Ian de Marcellus

NSSpellChecker

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania súborov.

CVE-2024-23223: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)

Power Manager

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná poškodiť pamäť koprocesora

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd.

Safari

Dostupné pre: macOS Sonoma

Dopad: Súkromná aktivita prehliadania používateľa môže byť viditeľná v Nastaveniach

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania používateľských nastavení.

CVE-2024-23211: Mark Bowers

Shortcuts

Dostupné pre: macOS Sonoma

Dopad: Skratka môže byť schopná používať pre určité akcie citlivé údaje bez zobrazenia výzvy pre používateľa

Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.

CVE-2024-23203: Anonymný výskumník

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná obísť určité nastavenia súkromia

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2024-23217: Kirin (@Pwnrin)

TCC

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Problém bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná zobraziť telefónne číslo používateľa v systémových denníkoch

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-23210: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)

WebKit

Dostupné pre: macOS Sonoma

Dopad: Webová stránka so škodlivým kódom môže byť schopná vytvoriť jedinečnú identitu používateľa

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.

CVE-2024-23206: Anonymný výskumník

WebKit

Dostupné pre: macOS Sonoma

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-23213: Wangtaiyu (Zhongfu info)

WebKit

Dostupné pre: macOS Sonoma

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2024-23214: Nan Wang (@eternalsakura13) z tímu 360 Vulnerability Research Institute

WebKit

Dostupné pre: macOS Sonoma

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť zneužitý.

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-23222

WebKit

Dostupné pre: macOS Sonoma

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neočakávané správanie využívajúce zámenu pôvodu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-23271: James Lee (@Windowsrcer)

Ďalšie poďakovanie

NetworkExtension

Poďakovanie za pomoc si zaslúži Nils Rollshausen.