Obsah zabezpečenia v systéme macOS Sequoia 15

V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Sequoia 15.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

macOS Sequoia 15

Dátum vydania: 16. septembra 2024

Accounts

Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)

Dopad: Apka môže byť schopná spôsobiť únik citlivých používateľských informácií

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44129

Accounts

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením logiky povolení.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

Dopad: Apka so škodlivým kódom môže byť schopná zmeniť nastavenia siete

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

Dátum pridania záznamu: 28. októbra 2024

APFS

Dopad: Škodlivá apka s oprávneniami správcu môže byť schopná upravovať obsah systémových súborov

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Dosah: Apka s oprávneniami používateľa root môže byť schopná získať prístup k súkromným informáciám

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2024-44130

App Intents

Dopad: Apka môže získať prístup k citlivým údajom zapísaným, keď sa cez skratku nepodarí spustiť inú apku.

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44154: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative

AppleGraphicsControl

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-40845: Pwn2car v spolupráci s Trend Micro Zero Day Initiative

CVE-2024-40846: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative

AppleMobileFileIntegrity

Dosah: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Problém bol riešený dodatočnými obmedzeniami pri podpisovaní kódu.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dopad: Útočník môže byť schopný čítať citlivé informácie

Popis: Problém so znížením úrovne bol riešený dodatočnými obmedzeniami pri podpisovaní kódu.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s vypĺňaním knižnice, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-44168: Claudio Bozzato a Francesco Benvenuto z Cisco Talos

AppleVA

Dopad: Apka môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-27860: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative

CVE-2024-27861: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative

AppleVA

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-40841: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative

AppSandbox

Dopad: Rozšírenie kamery môže mať prístup k internetu

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-27795: Halle Winkler, Politepix @hallewinkler

AppSandbox

Dopad: Apka môže mať prístup k chráneným súborom v rámci priestoru App Sandbox

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44126: Holger Fuhrmannek

Dátum pridania záznamu: 28. októbra 2024

Automator

Dopad: Pracovný postup rýchlej akcie Automator môže obísť Gatekeeper

Popis: Tento problém bol vyriešený pridaním ďalšej výzvy na získanie súhlasu používateľa.

CVE-2024-44128: Anton Boegler

bless

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Dosah: Rozbalenie archívu so škodlivým kódom môže umožniť útočníkovi zapisovať ľubovoľné súbory

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Dopad: Apka môže nahrávať obrazovku bez indikátora

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-27869: anonymný výskumník

Control Center

Dopad: Indikátory súkromia pre prístup k mikrofónu alebo kamere môžu byť priradené nesprávne.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením spracovania súborov.

CVE-2024-44146: anonymný výskumník

Core Data

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

Dátum pridania záznamu: 28. októbra 2024

CUPS

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2023-4504

DiskArbitration

Dopad: Apka v sandboxe môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-40855: Csaba Fitzl (@theevilbit) z tímu Kandji

Dátum pridania záznamu: 28. októbra 2024

Disk Images

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením overovania atribútov súboru.

CVE-2024-44148: anonymný výskumník

Dock

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.

CVE-2024-44177: anonymný výskumník

FileProvider

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2024-44131: @08Tc3wBB z Jamf

Game Center

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Problém s prístupom k súborom sa vyriešil vylepšením overovania vstupu.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Dopad: Apka môže byť schopná získať prístup ku knižnici fotiek používateľa

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-27880: Junsung Lee

ImageIO

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-44176: dw0r z ZeroPointer Lab spolupracujúci s Trend Micro Zero Day Initiative, anonymný výskumník

Installer

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Dopad: Spracovanie škodlivo vytvorenej textúry môže viesť k neočakávanému ukončeniu aplikácie

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44160: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative

Intel Graphics Driver

Dopad: Spracovanie škodlivo vytvorenej textúry môže viesť k neočakávanému ukončeniu aplikácie

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-44161: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative

IOSurfaceAccelerator

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44169: Antonio Zekić

Kernel

Dopad: Sieťový prenos môže unikať z tunela VPN.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-44165: Andrew Lytvynov

Kernel

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2024-44175: Csaba Fitzl (@theevilbit) z tímu Kandji

Dátum pridania záznamu: 28. októbra 2024

Kernel

Dopad: Apka môže získať neoprávnený prístup k rozhraniu Bluetooth

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) a Mathy Vanhoef

LaunchServices

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-44122: anonymný výskumník

Dátum pridania záznamu: 28. októbra 2024

libxml2

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44198: OSS-Fuzz, Ned Williamson z Google Project Zero

Mail Accounts

Dopad: Apka môže byť schopná získať prístup k informáciám o používateľských kontaktoch

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Problém bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2024-44181: Kirin(@Pwnrin) a LFY(@secsys) z Fudan University

mDNSResponder

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k logickej chybe, ktorá bola vyriešená vylepšením spracovania chýb.

CVE-2024-44183: Olivier Levon

Model I/O

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby.

CVE-2023-5841

Music

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-27858: Meng Zhang (鲸落) zo spoločnosti NorthSea, Csaba Fitzl (@theevilbit) z tímu Kandji

Dátum aktualizovania záznamu: 28. októbra 2024

Notes

Dopad: Apka môže byť schopná prepisovať ľubovoľné súbory

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2024-44167: ajajfxhj

Notification Center

Dopad: Škodlivá apka môže získať prístup k oznámeniam zo zariadenia používateľa

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený presunutím citlivých dát do chráneného umiestnenia.

CVE-2024-40838: Brian McNulty, Cristian Dinca z „Tudor Vianu“ National High School of Computer Science, Rumunsko, Vaibhav Prajapati

NSColor

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.

CVE-2024-44186: anonymný výskumník

OpenSSH

Dopad: Viacero problémov v súčasti OpenSSH

CVE-2024-39894

PackageKit

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Dopad: Pri používaní náhľadu funkcie tlače sa môže nezašifrovaný dokument zapísať do dočasného súboru

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania súborov.

CVE-2024-40826: anonymný výskumník

Quick Look

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-44149: Wojciech Regula zo spoločnosti SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) z tímu Kandji

Dátum aktualizovania záznamu: 28. októbra 2024

Safari

Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Dosah: Webový obsah so škodlivým kódom môže porušovať zásady izolovania priestoru pre prvky iFrame

Popis: Dochádzalo k problému so spracovaním vlastnej schémy URL, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44155: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Dátum pridania záznamu: 28. októbra 2024

Sandbox

Dosah: Škodlivá apka môže byť schopná spôsobiť únik citlivých používateľských informácií

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k súkromným údajom

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Dopad: Apka môže byť schopná získať prístup ku knižnici fotiek používateľa

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula zo spoločnosti SecuRing (wojciechregula.blog), Kirin (@Pwnrin) zo spoločnosti NorthSea

Dátum pridania záznamu: 28. októbra 2024

SceneKit

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.

CVE-2024-44144: 냥냥

Dátum pridania záznamu: 28. októbra 2024

Screen Capture

Dopad: Útočník s fyzickým prístupom môže zdieľať položky zo zamknutej obrazovky

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44137: Halle Winkler (@hallewinkler) zo spoločnosti Politepix

Dátum pridania záznamu: 28. októbra 2024

Screen Capture

Dosah: Útočník môže byť schopný zobraziť si obmedzený obsah na zamknutej obrazovke

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44174: Vivek Dhar

Dátum pridania záznamu: 28. októbra 2024

Security

Dopad: Apka so škodlivým kódom a oprávneniami koreňového používateľa (root) môže byť schopná získať prístup k informáciám zadávaným na klávesnici a informáciám o polohe bez súhlasu používateľa

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-44123: Wojciech Regula zo spoločnosti SecuRing (wojciechregula.blog)

Dátum pridania záznamu: 28. októbra 2024

Security Initialization

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), anonymný výskumník

Shortcuts

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Dopad: Skratka môže bez súhlasu poskytovať citlivé dáta používateľa

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Dopad: Apka môže sledovať údaje zobrazené používateľovi prostredníctvom skratiek.

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2024-40844: Kirin (@Pwnrin) a luckyu (@uuulucky) z NorthSea

Sidecar

Dopad: Útočník s fyzickým prístupom k zariadeniu so systémom macOS, v ktorom je zapnutá funkcia Sidecar, môže byť schopný obísť zamknutú obrazovku

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44145: Om Kothawade, Omar A. Alanis zo školy UNTHSC College of Pharmacy

Dátum pridania záznamu: 28. októbra 2024

Siri

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený presunutím citlivých údajov do bezpečnejšieho umiestnenia.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) a LFY (@secsys) z Fudan University

System Settings

Dopad: Apka môže byť schopná čítať ľubovoľné súbory

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Dopad: Zariadenia v správe MDM – apka môže dokázať obísť určité preferencie ochrany súkromia.

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) zo spoločnosti Microsoft

Transparency

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-40859: Csaba Fitzl (@theevilbit) z tímu Kandji

Dátum aktualizovania záznamu: 28. októbra 2024

Vim

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

CVE-2024-41957

WebKit

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Tento problém bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Tento problém bol vyriešený vylepšením používateľského rozhrania.

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh a YoKo Kho (@yokoacc) z HakTrak

WebKit

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom

Popis: V rámcoch iframe dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Dosah: Neprivilegovaný používateľ môže byť schopný upraviť obmedzené sieťové nastavenia

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-44134

Wi-Fi

Dopad: Útočník môže prinútiť zariadenie odpojiť sa od zabezpečenej siete.

Popis: Problém s integritou bol riešený pomocou prvku Beacon Protection.

CVE-2024-40856: Domien Schepers

WindowServer

Dopad: Objavil sa logický problém, kde proces môže zachytiť obsah obrazovky bez súhlasu používateľa.

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44189: Tim Clem

WindowServer

Dopad: Apka môže byť schopná obísť určité nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44208: anonymný výskumník

Dátum pridania záznamu: 28. októbra 2024

XProtect

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením overovania premenných prostredia.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Ďalšie poďakovanie

Admin Framework

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z Kandji.

Dátum aktualizovania záznamu: 28. októbra 2024

Airport

Poďakovanie za pomoc si zaslúži David Dudok de Wit.

Dátum aktualizovania záznamu: 28. októbra 2024

APFS

Poďakovanie za pomoc si zaslúži Georgi Valkov z httpstorm.com.

App Store

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z Kandji.

Dátum aktualizovania záznamu: 28. októbra 2024

AppKit

Poďakovanie za pomoc si zaslúži @08Tc3wBB z Jamf.

Apple Neural Engine

Poďakovanie za pomoc si zaslúži Jiaxun Zhu (@svnswords) a Minghao Lin (@Y1nKoc).

Automator

Poďakovanie za pomoc si zaslúži Koh M. Nakagawa (@tsunek0h).

Core Bluetooth

Poďakovanie za pomoc si zaslúži Nicholas C. z Onymos Inc. (onymos.com).

Core Services

Poďakovanie za pomoc si zaslúži Cristian Dinca z „Tudor Vianu“ National High School of Computer Science, Rumunsko, Kirin (@Pwnrin) a 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, Zhongquan Li (@Guluisacat).

CUPS

Poďakovanie za pomoc si zaslúži moein abas.

Dátum pridania záznamu: 28. októbra 2024

Disk Utility

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z Kandji.

dyld

Poďakovanie za pomoc si zaslúžia Pietro Francesco Tirenna, Davide Silvetti a Abdel Adim Oisfi zo spoločnosti Shielder (shielder.com).

Dátum pridania záznamu: 28. októbra 2024

FileProvider

Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).

Foundation

Poďakovanie za pomoc si zaslúži Ostorlab.

Kernel

Poďakovanie za pomoc si zaslúži Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) z PixiePoint Security.

libxpc

Poďakovanie za pomoc si zaslúži Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu).

LLVM

Poďakovanie za pomoc si zaslúži Victor Duta z Universiteit Amsterdam, Fabio Pagani z University of California, Santa Barbara, Cristiano Giuffrida z Universiteit Amsterdam, Marius Muench a Fabian Freyer.

Maps

Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).

Music

Poďakovanie za pomoc si zaslúži Khiem Tran z databaselog.com/khiemtran, K宝 a LFY@secsys z Fudan University, Yiğit Can YILMAZ (@yilmazcanyigit).

Notification Center

Poďakovanie za pomoc si zaslúžia Kirin (@Pwnrin) a LFYSec.

Dátum pridania záznamu: 28. októbra 2024

Notifications

Poďakovanie za pomoc si zaslúži anonymný výskumník.

PackageKit

Poďakovanie za pomoc si zaslúžia Csaba Fitzl (@theevilbit) z tímu Kandji, Mickey Jin (@patch1t) a Zhongquan Li (@Guluisacat).

Dátum aktualizovania záznamu: 28. októbra 2024

Passwords

Poďakovanie za pomoc si zaslúži Richard Hyunho Im (@r1cheeta).

Photos

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi, Leandro Chaves.

Podcasts

Poďakovanie za pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).

Quick Look

Poďakovanie za pomoc si zaslúži Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com).

Safari

Poďakovanie za pomoc si zaslúži Hafiizh a YoKo Kho (@yokoacc) z HakTrak, Junsung Lee, Shaheen Fazim.

Sandbox

Poďakovanie za pomoc si zaslúži Cristian Dinca zo strednej školy Colegiul Național de Informatică Tudor Vianu v Rumunsku.

Dátum aktualizovania záznamu: 28. októbra 2024

Screen Capture

Poďakovanie za pomoc si zaslúži Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit), anonymný výskumník.

Shortcuts

Poďakovanie za pomoc si zaslúži Cristian Dinca z „Tudor Vianu“ National High School of Computer Science, Rumunsko, Jacob Braun, anonymný výskumník.

Siri

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) zo školy Lakshmi Narain College of Technology (Bhopál, India), Rohan Paudel a anonymný výskumník.

Dátum aktualizovania záznamu: 28. októbra 2024

SystemMigration

Poďakovanie za pomoc si zaslúži Jamey Wicklund, Kevin Jansen, anonymný výskumník.

TCC

Poďakovanie za pomoc si zaslúži Noah Gregory (wts.dev), Vaibhav Prajapati.

UIKit

Poďakovanie za pomoc si zaslúži Andr.Ess.

Voice Memos

Poďakovanie za pomoc si zaslúži Lisa B.

WebKit

Poďakovanie za pomoc si zaslúžia Avi Lumelsky z tímu Oligo Security, Uri Katz z tímu Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar) a Numan Türle – Rıza Sabuncu.

Dátum aktualizovania záznamu: 28. októbra 2024

Wi-Fi

Poďakovanie za pomoc si zaslúži Antonio Zekic (@antoniozekic) a ant4g0nist, Tim Michaud (@TimGMichaud) z Moveworks.ai.

WindowServer

Poďakovanie za pomoc si zaslúži Felix Kratz.

Dátum aktualizovania záznamu: 28. októbra 2024

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: 4. novembra 2024