Obsah zabezpečenia v systéme macOS Sequoia 15.1

V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Sequoia 15.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

Obsah zabezpečenia v systéme macOS Sequoia 15.1

Apache

Dopad: V softvéri Apache dochádzalo k viacerými problémom

Popis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-39573

CVE-2024-38477

CVE-2024-38476

App Support

Dostupné pre: macOS Sequoia

Dopad: Apka so škodlivým kódom môže byť schopná spúšťať ľubovoľné skratky bez súhlasu používateľa

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením logiky.

CVE-2024-44255: anonymný výskumník

AppleAVD

Dostupné pre: macOS Sequoia

Dopad: Analýza súboru videa so škodlivým kódom môže viesť k neočakávanému ukončeniu systému

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

AppleMobileFileIntegrity

Dostupné pre: macOS Sequoia

Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2024-44270: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s prechodom na staršiu verziu, ktorý sa týkal počítačov Mac s procesorom Intel a bol vyriešený ďalšími obmedzeniami podpisovania kódu.

CVE-2024-44280: Mickey Jin (@patch1t)

Assets

Dostupné pre: macOS Sequoia

Dopad: Škodlivá apka s oprávneniami správcu môže byť schopná upravovať obsah systémových súborov

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2024-44260: Mickey Jin (@patch1t)

Contacts

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k informáciám o používateľských kontaktoch

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44298: Kirin (@Pwnrin) a 7feilee

CoreMedia Playback

Dostupné pre: macOS Sequoia

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k súkromným informáciám

Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell z tímu Loadshine Lab

CoreServicesUIAgent

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2024-44295: anonymný výskumník

CoreText

Dostupné pre: macOS Sequoia

Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44240: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

CVE-2024-44302: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

CUPS

Dostupné pre: macOS Sequoia

Dopad: Útočiaca osoba s oprávneniami v sieti môže byť schopná spôsobiť únik citlivých používateľských informácií

Popis: Pri analyzovaní URL adries dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2024-44213: Alexandre Bedard

Find My

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44289: Kirin (@Pwnrin)

Foundation

Dostupné pre: macOS Sequoia

Dopad: Analýza súboru môže viesť k sprístupneniu informácií používateľa

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44282: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

Game Controllers

Dostupné pre: macOS Sequoia

Dopad: Útočiaca osoba s fyzickým prístupom môže vkladať udalosti herného ovládača do apiek spustených na zamknutom zariadení

Popis: Tento problém bol vyriešený obmedzením možností, ktoré sú dostupné v zamknutom zariadení.

CVE-2024-44265: Ronny Stiftel

ImageIO

Dostupné pre: macOS Sequoia

Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44215: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: macOS Sequoia

Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby.

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2024-44297: Jex Amro

Installer

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.

CVE-2024-44216: Zhongquan Li (@Guluisacat)

Installer

Dostupné pre: macOS Sequoia

Dopad: Apka so škodlivým kódom môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44287: Mickey Jin (@patch1t)

IOGPUFamily

Dostupné pre: macOS Sequoia

Dopad: Apka so škodlivým kódom môže byť schopná spôsobiť odmietnutie služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44197: Wang Yu z tímu Cyberserval

IOSurface

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2024-44285: anonymný výskumník

Kernel

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému so zverejnením informácií, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Login Window

Dostupné pre: macOS Sequoia

Dopad: Osoba s fyzickým prístupom k Macu môže byť schopná obísť prihlasovacie okno počas aktualizácie softvéru

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44231: Toomas Römer

Login Window

Dostupné pre: macOS Sequoia

Dopad: Útočiaca osoba s fyzickým prístupom k Macu môže byť schopná zobraziť chránený obsah z prihlasovacieho okna

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44223: Jaime Bertran

Maps

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-44222: Kirin (@Pwnrin)

Messages

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2024-44256: Mickey Jin (@patch1t)

Notification Center

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44292: Kirin (@Pwnrin)

Notification Center

Dostupné pre: macOS Sequoia

Dopad: Používateľ môže byť schopný zobraziť si citlivé používateľské informácie

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44293: Kirin (@Pwnrin) a 7feilee

PackageKit

Dostupné pre: macOS Sequoia

Dopad: Apka so škodlivým kódom môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44247: Un3xploitable zo spoločnosti CW Research Inc.

CVE-2024-44267: Bohdan Stasiuk (@Bohdan_Stasiuk), Un3xploitable zo spoločnosti CW Research Inc, Pedro Tôrres (@t0rr3sp3dr0)

CVE-2024-44301: Bohdan Stasiuk (@Bohdan_Stasiuk), Un3xploitable zo spoločnosti CW Research Inc, Pedro Tôrres (@t0rr3sp3dr0)

CVE-2024-44275: Arsenii Kostromin (0x3c3e)

PackageKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Riziko napadnutia pri mazaní cesty bolo odstránené zakázaním spúšťania citlivého kódu s oprávneniami.

CVE-2024-44156: Arsenii Kostromin (0x3c3e)

CVE-2024-44159: Mickey Jin (@patch1t)

PackageKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44253: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) z tímu Kandji

PackageKit

Dostupné pre: macOS Sequoia

Dopad: Útočiaca osoba s oprávneniami koreňového používateľa (root) môže byť schopná mazať chránené systémové súbory

Popis: Riziko napadnutia pri mazaní cesty bolo odstránené zakázaním spúšťania citlivého kódu s oprávneniami.

CVE-2024-44294: Mickey Jin (@patch1t)

PackageKit

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-44196: Csaba Fitzl (@theevilbit) z tímu Kandji

Photos

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup ku kontaktom bez súhlasu používateľa

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-40858: Csaba Fitzl (@theevilbit) z tímu Kandji

Pro Res

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44277: anonymný výskumník a Yinyi Wu(@_3ndy1) z tímu Dawn Security Lab spoločnosti JD.com, Inc.

Quick Look

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná čítať ľubovoľné súbory

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2024-44195: Anonymný výskumník

Safari Downloads

Dostupné pre: macOS Sequoia

Dopad: Útočiaca osoba môže byť schopná zneužiť vzťah dôvery medzi doménami na stiahnutie obsahu so škodlivým kódom

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44259: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Safari Private Browsing

Dostupné pre: macOS Sequoia

Dopad: Pri súkromnom prehliadaní môže dôjsť k úniku histórie prehliadania

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený dodatočným overovaním.

CVE-2024-44229: Lucas Di Tomase

Sandbox

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2024-44211: Gergely Kalman (@gergely_kalman) a Csaba Fitzl (@theevilbit)

SceneKit

Dostupné pre: macOS Sequoia

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44218: Michael DePlante (@izobashi) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

Shortcuts

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Dostupné pre: macOS Sequoia

Dopad: Apka so škodlivým kódom môže používať skratky na získanie prístupu k súborom s obmedzeným prístupom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-44269: anonymný výskumník

sips

Dostupné pre: macOS Sequoia

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-44236: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

CVE-2024-44237: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

sips

Dostupné pre: macOS Sequoia

Dopad: Analýza súboru môže viesť k sprístupneniu informácií používateľa

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44279: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

CVE-2024-44281: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

sips

Dostupné pre: macOS Sequoia

Dopad: Analýza súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-44283: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

sips

Dostupné pre: macOS Sequoia

Dopad: Analýza súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44284: Junsung Lee, dw0r! v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Siri

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Dostupné pre: macOS Sequoia

Dopad: Apka v sandboxe môže byť schopná získať prístup k citlivým používateľským dátam v systémových protokoloch

Popis: Dochádzalo k problému so zverejnením informácií, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44278: Kirin (@Pwnrin)

SystemMigration

Dostupné pre: macOS Sequoia

Dopad: Apka so škodlivým kódom môže byť schopná vytvárať symbolické odkazy na chránené oblasti disku

Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2024-44264: Mickey Jin (@patch1t)

WebKit

Dostupné pre: macOS Sequoia

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44296: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

WebKit

Dostupné pre: macOS Sequoia

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44244: anonymný výskumník, Q1IQ (@q1iqF) a P1umer (@p1umer)

WindowServer

Dostupné pre: macOS Sequoia

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-44257: Bohdan Stasiuk (@Bohdan_Stasiuk)

Ďalšie poďakovanie

Airport

Poďakovanie za pomoc si zaslúžia Bohdan Stasiuk (@Bohdan_Stasiuk) a K宝 (@Pwnrin).

Calculator

Poďakovanie za pomoc si zaslúži Kenneth Chew.

Calendar

Poďakovanie za pomoc si zaslúži K宝(@Pwnrin).

ImageIO

Poďakovanie za pomoc si zaslúžia Amir Bazine a Karsten König z tímu Counter Adversary Operations spoločnosti CrowdStrike, ako aj anonymný výskumník.

Messages

Poďakovanie za pomoc si zaslúžia Collin Potter a anonymný výskumník.

NetworkExtension

Poďakovanie za pomoc si zaslúži Patrick Wardle zo spoločnosti DoubleYou a organizácie Objective-See Foundation.

Notification Center

Poďakovanie za pomoc si zaslúžia Kirin (@Pwnrin) a LFYSec.

Photos

Poďakovanie za pomoc si zaslúži James Robertson.

Safari Private Browsing

Poďakovanie za pomoc si zaslúžia anonymný výskumník a r00tdaddy.

Safari Tabs

Poďakovanie za pomoc si zaslúži Jaydev Ahire.

Security

Poďakovanie za pomoc si zaslúžia Bing Shi, Wenchao Li a Xiaolong Bai zo spoločnosti Alibaba Group.

Siri

Poďakovanie za pomoc si zaslúži Bistrit Dahal.