macOS Sequoia 15'in güvenlik içeriği hakkında

Bu belgede macOS Sequoia 15'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

macOS Sequoia 15

Yayınlanma tarihi: 16 Eylül 2024

Accounts

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac Mini (2018 ve sonraki modelleri), MacBook Air (2020 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, hassas kullanıcı bilgilerini sızdırabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-44129

Accounts

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

Etki: Kötü amaçlarla oluşturulmuş bir uygulama, ağ ayarlarını değiştirebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

Giriş eklenme tarihi: 28 Ekim 2024

APFS

Etki: Kök ayrıcalıklarına sahip kötü amaçlı bir uygulama, sistem dosyalarının içeriğini değiştirebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Etki: Kök ayrıcalıklarına sahip bir uygulama gizli bilgilere erişebilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2024-44130

App Intents

Etki: Uygulama, bir kısaltma başka bir uygulamayı başlatamadığında kayda geçirilen hassas verilere erişebilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2024-44154: Trend Micro Zero Day Initiative'den Michael DePlante (@izobashi)

AppleGraphicsControl

Etki: Kötü amaçlarla oluşturulmuş bir video dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-40845: Trend Micro Zero Day Initiative ile çalışan Pwn2car

CVE-2024-40846: Trend Micro Zero Day Initiative'den Michael DePlante (@izobashi)

AppleMobileFileIntegrity

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek kod imzalama sınırlamaları getirilerek sorun giderildi.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Etki: Bir saldırgan hassas bilgileri okuyabilir

Açıklama: Ek kod imzalama sınırlamaları getirilerek bir eski sürüme düşürme sorunu giderildi.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Ek sınırlamalar getirilerek kitaplık enjeksiyonuyla ilgili bir sorun giderildi.

CVE-2024-44168: Cisco Talos'tan Claudio Bozzato ve Francesco Benvenuto

AppleVA

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-27860: Trend Micro Zero Day Initiative'den Michael DePlante (@izobashi)

CVE-2024-27861: Trend Micro Zero Day Initiative'den Michael DePlante (@izobashi)

AppleVA

Etki: Kötü amaçlarla oluşturulmuş bir video dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2024-40841: Trend Micro Zero Day Initiative'den Michael DePlante (@izobashi)

AppSandbox

Etki: Bir kamera uzantısı internete erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-27795: Halle Winkler, Politepix @hallewinkler

AppSandbox

Etki: Bir uygulama, Uygulama Koruma Alanı kapsayıcısındaki korumalı dosyalara erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-44126: Holger Fuhrmannek

Giriş eklenme tarihi: 28 Ekim 2024

Automator

Etki: Bir Automator Eylemi iş akışı, Gatekeeper'ı atlayabilir

Açıklama: Bu sorun, kullanıcı izni için ek istem eklenerek giderildi.

CVE-2024-44128: Anton Boegler

bless

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması bir saldırganın rastgele dosyalara yazmasına neden olabilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Etki: Bir uygulama, herhangi bir gösterge olmadan ekranı kaydedebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27869: anonim bir araştırmacı

Control Center

Etki: Mikrofon veya kamera erişimi Gizlilik Göstergeleri yanlış bir şekilde nitelenebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Dosya işleme iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-44146: anonim bir araştırmacı

Core Data

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

Giriş eklenme tarihi: 28 Ekim 2024

CUPS

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2023-4504

DiskArbitration

Etki: Korumalı alandaki bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-40855: Kandji'den Csaba Fitzl (@theevilbit)

Giriş eklenme tarihi: 28 Ekim 2024

Disk Images

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Dosya nitelendirmelerinin doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2024-44148: anonim bir araştırmacı

Dock

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Hassas veriler kaldırılarak bir gizlilik sorunu giderildi.

CVE-2024-44177: anonim bir araştırmacı

FileProvider

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Sembolik bağlantıların doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2024-44131: Jamf'den @08Tc3wBB

Game Center

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek dosya erişimi ile ilgili bir sorun giderildi.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Etki: Bir uygulama, kullanıcıların Fotoğraflar Arşivi'ne erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2024-27880: Junsung Lee

ImageIO

Etki: Bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-44176: Trend Micro Zero Day Initiative ile çalışan ZeroPointer Lab'den dw0r, anonim bir araştırmacı

Installer

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Etki: Kötü amaçlarla oluşturulmuş bir dokunun işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2024-44160: Trend Micro Zero Day Initiative'den Michael DePlante (@izobashi)

Intel Graphics Driver

Etki: Kötü amaçlarla oluşturulmuş bir dokunun işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2024-44161: Trend Micro Zero Day Initiative'den Michael DePlante (@izobashi)

IOSurfaceAccelerator

Etki: Bir uygulama sistemin beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-44169: Antonio Zekić

Kernel

Etki: Ağ trafiği, bir VPN tüneli dışına sızabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-44165: Andrew Lytvynov

Kernel

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Sembolik bağlantıların doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2024-44175: Kandji'den Csaba Fitzl (@theevilbit)

Giriş eklenme tarihi: 28 Ekim 2024

Kernel

Etki: Bir uygulama, Bluetooth'a yetkisiz erişim sağlayabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ve Mathy Vanhoef

LaunchServices

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-44122: anonim bir araştırmacı

Giriş eklenme tarihi: 28 Ekim 2024

libxml2

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2024-44198: OSS-Fuzz, Google Project Zero'dan Ned Williamson

Mail Accounts

Etki: Bir uygulama, bir kullanıcının kişileriyle ilgili bilgilere erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir sorun giderildi.

CVE-2024-44181: Kirin(@Pwnrin) ve Fudan University'den LFY(@secsys)

mDNSResponder

Etki: Bir uygulama servis reddine neden olabilir

Açıklama: Hata işleme iyileştirilerek bir mantık hatası giderildi.

CVE-2024-44183: Olivier Levon

Model I/O

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

CVE-2023-5841

Music

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-27858: NorthSea'den Meng Zhang (鲸落), Kandji'den Csaba Fitzl (@theevilbit)

Giriş güncellenme tarihi: 28 Ekim 2024

Notes

Etki: Bir uygulama, rastgele dosyaların üzerine yazabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-44167: ajajfxhj

Notification Center

Etki: Kötü niyetli bir uygulama, kullanıcının aygıtından bildirimlere erişebilir

Açıklama: Hassas veriler daha güvenli bir konuma taşınarak bir gizlilik sorunu giderildi.

CVE-2024-40838: Brian McNulty, "Tudor Vianu" National High School of Computer Science, Romanya'dan Cristian Dinca, Vaibhav Prajapati

NSColor

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2024-44186: anonim bir araştırmacı

OpenSSH

Etki: OpenSSH'de birden çok sorun

CVE-2024-39894

PackageKit

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Sembolik bağlantıların doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Etki: Yazdırma önizlemesi kullanılırken, şifrelenmemiş bir belge geçici bir dosyaya yazdırılabilir

Açıklama: Dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-40826: anonim bir araştırmacı

Quick Look

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-44149: SecuRing'den Wojciech Regula (wojciechregula.blog), Kandji'den Csaba Fitzl (@theevilbit)

Giriş güncellenme tarihi: 28 Ekim 2024

Safari

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Etki: Kötü amaçlarla oluşturulmuş web içeriği, iFrame korumalı alan politikasını ihlal edebilir

Açıklama: Giriş doğrulaması iyileştirilerek özel bir URL şeması işleme sorunu giderildi.

CVE-2024-44155: Suma Soft Pvt. Ltd, Pune (Hindistan) şirketinden Siber Güvenlik Yöneticisi Narendra Bhati

Giriş eklenme tarihi: 28 Ekim 2024

Sandbox

Etki: Kötü amaçlı bir uygulama, gizli kullanıcı bilgilerini sızdırabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Etki: Kötü amaçlarla oluşturulmuş bir uygulama, gizli bilgilere erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Etki: Bir uygulama, kullanıcıların Fotoğraflar Arşivi'ne erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), SecuRing'den Wojciech Regula (wojciechregula.blog), NorthSea'den Kirin (@Pwnrin)

Giriş eklenme tarihi: 28 Ekim 2024

SceneKit

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2024-44144: 냥냥

Giriş eklenme tarihi: 28 Ekim 2024

Screen Capture

Etki: Fiziksel erişimi olan bir saldırgan, kilitli ekrandan öğe paylaşabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-44137: Halle Winkler, Politepix @hallewinkler

Giriş eklenme tarihi: 28 Ekim 2024

Screen Capture

Etki: Saldırgan kilitli ekrandan sınırlanmış içerikleri görüntüleyebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-44174: Vivek Dhar

Giriş eklenme tarihi: 28 Ekim 2024

Security

Etki: Kök ayrıcalıklarına sahip kötü amaçlı bir uygulama, kullanıcı izni olmadan klavye girişi ve konum bilgilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-44123: SecuRing'den Wojciech Regula (wojciechregula.blog)

Giriş eklenme tarihi: 28 Ekim 2024

Security Initialization

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), anonim bir araştırmacı

Shortcuts

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Etki: Bir kestirme, izin almadan hassas kullanıcı verilerinin çıktısını oluşturabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Etki: Bir uygulama, Kısayollar tarafından kullanıcıya gösterilen verileri görüntüleyebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-40844: Kirin (@Pwnrin) ve NorthSea'den luckyu (@uuulucky)

Sidecar

Etki: Sidecar özellikli bir macOS aygıtına fiziksel erişimi olan bir saldırgan, Kilitli Ekranı aşabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-44145: UNTHSC College of Pharmacy'den Om Kothawade, Omar A. Alanis

Giriş eklenme tarihi: 28 Ekim 2024

Siri

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Hassas veriler daha güvenli bir konuma taşınarak bir gizlilik sorunu giderildi.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) ve Fudan University'den LFY(@secsys)

System Settings

Etki: Bir uygulama, rastgele dosyaları okuyabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Etki: MDM yönetilen aygıtlarda bir uygulama, belirli Gizlilik tercihlerini atlayabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-44133: Microsoft'tan Jonathan Bar Or (@yo_yo_yo_jbo)

Transparency

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2024-40859: Kandji'den Csaba Fitzl (@theevilbit)

Giriş güncellenme tarihi: 28 Ekim 2024

Vim

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

CVE-2024-41957

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir

Açıklama: Kullanıcı arabiriminin iyileştirilmesiyle sorun giderildi

WebKit Bugzilla: 279451

CVE-2024-40866: HakTrak'ten Hafiizh ve YoKo Kho (@yokoacc)

WebKit

Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir

Açıklama: "iFrame" öğeleriyle ilgili kaynaklar arası bir sorun vardı. Güvenlik kaynaklarının takibi iyileştirilerek bu sorun giderildi.

WebKit Bugzilla: 279452

CVE-2024-44187: Suma Soft Pvt. Ltd, Pune (Hindistan) şirketinden Siber Güvenlik Yöneticisi Narendra Bhati

Wi-Fi

Etki: Ayrıcalıklı olmayan bir kullanıcı sınırlanmış ağ ayarlarını değiştirebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Etki: Bir uygulama, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2024-44134

Wi-Fi

Etki: Bir saldırgan, bir aygıtın güvenli bir ağla olan bağlantısını zorla sonlandırabilir

Açıklama: Beacon Protection ile ilgili bir bütünlük sorunu giderildi

CVE-2024-40856: Domien Schepers

WindowServer

Etki: Bir işlemin, kullanıcı onayı olmadan ekran içeriğini yakalayabildiği bir mantık sorunu vardı

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-44189: Tim Clem

WindowServer

Etki: Bir uygulama, belirli Gizlilik tercihlerini atlatabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-44208: anonim bir araştırmacı

Giriş eklenme tarihi: 28 Ekim 2024

XProtect

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ortam değişkenlerini doğrulama işlemi iyileştirilerek bir sorun giderildi.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Ek teşekkür listesi

Admin Framework

Kandji'den Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.

Giriş güncellenme tarihi: 28 Ekim 2024

Airport

David Dudok de Wit'e yardımı için teşekkür ederiz.

Giriş güncellenme tarihi: 28 Ekim 2024

APFS

httpstorm.com'dan Georgi Valkov'a yardımı için teşekkür ederiz.

App Store

Kandji'den Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.

Giriş güncellenme tarihi: 28 Ekim 2024

AppKit

Jamf'dan @08Tc3wBB'ye yardımı için teşekkür ederiz.

Apple Neural Engine

Jiaxun Zhu (@svnswords) ve Minghao Lin'e (@Y1nKoc) yardımları için teşekkür ederiz.

Automator

Koh M. Nakagawa'ya (@tsunek0h) yardımı için teşekkür ederiz.

Core Bluetooth

Onymos Inc. (onymos.com) şirketinden Nicholas C.'ye yardımı için teşekkür ederiz.

Core Services

"Tudor Vianu" National High School of Computer Science, Romanya'dan Cristian Dinca'ya, Kirin'e (@Pwnrin) ve 7feilee'ye, Snoolie Keffaber'e (@0xilis), Tal Lossos'a, Zhongquan Li'ye (@Guluisacat) yardımları için teşekkür ederiz.

CUPS

moein abas'a yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 28 Ekim 2024

Disk Utility

Kandji'den Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.

dyld

Shielder'dan Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi'ye (shielder.com) yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 28 Ekim 2024

FileProvider

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

Foundation

Ostorlab'e yardımı için teşekkür ederiz.

Kernel

Braxton Anderson'a, PixiePoint Security'den Fakhri Zulkifli'ye (@d0lph1n98) yardımları için teşekkür ederiz.

libxpc

Rasmus Sten, F-Secure'a (Mastodon: @pajp@blog.dll.nu) yardımları için teşekkür ederiz.

LLVM

Universiteit Amsterdam'dan Victor Duta'ya, University of California, Santa Barbara'dan Fabio Pagani'ye, Universiteit Amsterdam'dan Cristiano Giuffrida'ya, Marius Muench'e ve Fabian Freyer'e yardımları için teşekkür ederiz.

Maps

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

Music

databaselog.com/khiemtran'dan Khiem Tran'a, Fudan University'den K宝 ve LFY@secsys'e, Yiğit Can YILMAZ'a (@yilmazcanyigit) yardımları için teşekkür ederiz.

Notification Center

Kirin'e (@Pwnrin) ve LFYSec'e yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 28 Ekim 2024

Notifications

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

PackageKit

Kandji'den Csaba Fitzl'e (@theevilbit), Mickey Jin'e (@patch1t), Zhongquan Li'ye (@Guluisacat) yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 28 Ekim 2024

Passwords

Richard Hyunho Im'e (@r1cheeta) yardımı için teşekkür ederiz.

Photos

Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia), Harsh Tyagi'ye, Leandro Chaves'e yardımları için teşekkür ederiz.

Podcasts

Yiğit Can YILMAZ'a (@yilmazcanyigit) yardımı için teşekkür ederiz.

Quick Look

Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo'ya (@R3dF09) yardımı için teşekkür ederiz.

Safari

HakTrak'ten Hafiizh ve YoKo Kho'ya (@yokoacc), Junsung Lee'ye, Shaheen Fazim'e yardımları için teşekkür ederiz.

Sandbox

Romanya'daki "Tudor Vianu" National High School of Computer Science'tan Cristian Dinca'ya yardımı için teşekkür ederiz.

Giriş güncellenme tarihi: 28 Ekim 2024

Screen Capture

Joshua Jewett'e (@JoshJewett33), Yiğit Can YILMAZ'a (@yilmazcanyigit) yardımları için teşekkür ederiz.

Shortcuts

Romanya'daki "Tudor Vianu" National High School of Computer Science'tan Cristian Dinca'ya, Jacob Braun'a, anonim bir araştırmacıya yardımları için teşekkür ederiz.

Siri

Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia), Rohan Paudel'e ve anonim bir kullanıcıya yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 28 Ekim 2024

SystemMigration

Jamey Wicklund'a, Kevin Jansen'e, anonim bir araştırmacıya yardımları için teşekkür ederiz.

TCC

Noah Gregory'ye (wts.dev), Vaibhav Prajapati'ye yardımları için teşekkür ederiz.

UIKit

Andr.Ess'e yardımı için teşekkür ederiz.

Voice Memos

Lisa B'ye yardımı için teşekkür ederiz.

WebKit

Oligo Security'den Avi Lumelsk'e ve Uri Katz'a, Braylon'a (@softwarescool), Eli Grey'e (eligrey.com), Johan Carlsson'a (joaxcar), Numan Türle - Rıza Sabuncu'ya yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 28 Ekim 2024

Wi-Fi

Antonio Zekic'e (@antoniozekic) ve ant4g0nist'e, Moveworks.ai'dan Tim Michaud'a (@TimGMichaud) yardımları için teşekkür ederiz.

WindowServer

Felix Kratz'a yardımı için teşekkür ederiz.

Giriş güncellenme tarihi: 28 Ekim 2024

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: 4 Kasım 2024