Відомості про проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Sequoia 15

Дата випуску: 16 вересня 2024 р.

Accounts

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2020 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р. і новіші моделі)

Вплив: програма може спричинити витік конфіденційної інформації користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44129

Accounts

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему усунено завдяки поліпшенню логіки дозволів.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

Вплив: шкідлива програма може змінювати параметри мережі.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

Запис додано 28 жовтня 2024 р.

APFS

Вплив: шкідлива програма з правами адміністратора може змінювати вміст системних файлів.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Вплив: програма з привілеями кореневого користувача може отримувати доступ до приватної інформації.

Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.

CVE-2024-44130

App Intents

Вплив: програма може отримувати доступ до зафіксованих конфіденційних даних, коли швидкій команді не вдається запустити іншу програму.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2024-44182: користувач Kirin (@Pwnrin)

AppleGraphicsControl

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему з ініціалізацією пам’яті вирішено завдяки вдосконаленню обробки звернень до пам’яті.

CVE-2024-44154: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

AppleGraphicsControl

Вплив: обробка шкідливого відеофайлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-40845: користувач Pwn2car, що співпрацює з Trend Micro в межах ініціативи Zero Day Initiative

CVE-2024-40846: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

AppleMobileFileIntegrity

Вплив: програма може обходити параметри приватності.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено за допомогою додаткових обмежень підписування коду.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Вплив: зловмисник може зчитати вразливу інформацію.

Опис: проблему зі зниженням рівня вирішено за допомогою додаткових обмежень підписування коду.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з додаванням даних до бібліотеки усунено за допомогою додаткових обмежень.

CVE-2024-44168: Claudio Bozzato та Francesco Benvenuto із Cisco Talos

AppleVA

Вплив: програма може зчитувати дані з області пам’яті з обмеженим доступом.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-27860: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

CVE-2024-27861: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

AppleVA

Вплив: обробка шкідливого відеофайлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2024-40841: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

AppSandbox

Вплив: розширення камери може отримувати доступ до інтернету.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-27795: Halle Winkler, Politepix @hallewinkler

AppSandbox

Вплив: програма може отримати доступ до захищених файлів у контейнері App Sandbox.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему усунено завдяки поліпшенню обробки символьних посилань.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Вплив: обробка шкідливого файлу може призводити до пошкодження динамічної пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44126: Holger Fuhrmannek

Запис додано 28 жовтня 2024 р.

Automator

Вплив: робочий процес Automator Quick Action може обходити перевірку Gatekeeper.

Опис: проблему усунено завдяки додаванню додаткового запиту згоди користувача.

CVE-2024-44128: Anton Boegler

bless

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Вплив: розпакування шкідливого архіву може дозволити зловмиснику запис довільних файлів.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Вплив: програма може записувати екран без індикатора.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-27869: анонімний дослідник

Control Center

Вплив: індикатори приватності для доступу до мікрофона (або камери) можуть неправильно зіставлятися.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему з логікою вирішено завдяки вдосконаленню обробки файлів.

CVE-2024-44146: анонімний дослідник

Core Data

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2024-27849: користувач Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

Запис додано 28 жовтня 2024 р.

CUPS

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: це вразливість у відкритому вихідному коді, а програмне забезпечення Apple є одним із проєктів, що зазнали цього впливу. Ідентифікатор CVE призначила стороння організація. Дізнайтесь більше про проблему та ідентифікатор CVE-ID на сайті cve.org.

CVE-2023-4504

DiskArbitration

Вплив: програма в ізольованому програмному середовищі може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-40855: Csaba Fitzl (@theevilbit) з Kandji

Запис додано 28 жовтня 2024 р.

Disk Images

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему усунено завдяки поліпшенню перевірки файлових атрибутів.

CVE-2024-44148: анонімний дослідник

Dock

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему приватності вирішено завдяки вилученню конфіденційних даних.

CVE-2024-44177: анонімний дослідник

FileProvider

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2024-44131: @08Tc3wBB із Jamf

Game Center

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом до файлів вирішено завдяки поліпшенню перевірки вводу.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Вплив: програма може отримати доступ до фототеки користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему читання за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2024-27880: Junsung Lee

ImageIO

Вплив: обробка зображення може призвести до відмови в обслуговуванні.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2024-44176: користувач dw0r із ZeroPointer Lab, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative, анонімний дослідник

Installer

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Вплив: обробка шкідливої текстури може призводити до неочікуваного завершення роботи програми.

Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2024-44160: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

Intel Graphics Driver

Вплив: обробка шкідливої текстури може призводити до неочікуваного завершення роботи програми.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2024-44161: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

IOSurfaceAccelerator

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-44169: Antonio Zekić

Kernel

Вплив: мережевий трафік може виходити за межі тунелю VPN.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2024-44165: Andrew Lytvynov

Kernel

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2024-44175: Csaba Fitzl (@theevilbit) з Kandji

Запис додано 28 жовтня 2024 р.

Kernel

Вплив: програма може отримати несанкціонований доступ до Bluetooth.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) і Mathy Vanhoef

LaunchServices

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2024-44122: анонімний дослідник

Запис додано 28 жовтня 2024 р.

libxml2

Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.

CVE-2024-44198: користувач OSS-Fuzz і Ned Williamson із підрозділу Google Project Zero

Mail Accounts

Вплив: програма може отримати доступ до інформації про контакти користувача.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему усунено завдяки вдосконаленню обробки тимчасових файлів.

CVE-2024-44181: користувачі Kirin (@Pwnrin) і LFY (@secsys) з Університету Фудань

mDNSResponder

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему з логікою вирішено завдяки вдосконаленню обробки файлів.

CVE-2024-44183: Olivier Levon

Model I/O

Вплив: обробка шкідливого зображення може призводити до відмови в обслуговуванні.

CVE-2023-5841

Music

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-27858: Meng Zhang (鲸落) з NorthSea, Csaba Fitzl (@theevilbit) з Kandji

Запис оновлено 28 жовтня 2024 р.

Notes

Вплив: програма може перезаписувати довільні файли.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2024-44167: користувач ajajfxhj

Notification Center

Вплив: шкідлива програма може отримувати доступ до сповіщень на пристрої користувача.

Опис: проблему з приватністю вирішено завдяки переміщенню конфіденційних даних у безпечне розташування.

CVE-2024-40838: Brian McNulty, Cristian Dinca з Національної вищої школи комп’ютерних наук імені Тудора Віану (Румунія), Vaibhav Prajapati

NSColor

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено завдяки додатковим обмеженням ізольованого програмного середовища.

CVE-2024-44186: анонімний дослідник

OpenSSH

Вплив: виявлено кілька проблем в OpenSSH.

CVE-2024-39894

PackageKit

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Вплив: незашифрований документ може бути записано в тимчасовий файл під час попереднього перегляду друку.

Опис: проблему з приватністю вирішено завдяки вдосконаленню обробки файлів.

CVE-2024-40826: анонімний дослідник

Quick Look

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-44149: Wojciech Regula із SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) з Kandji

Запис оновлено 28 жовтня 2024 р.

Safari

Вплив: відвідування шкідливих вебсайтів може призводити до підміни інтерфейсу користувача.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Вплив: шкідливий вебконтент може порушувати політику щодо iframe sandbox.

Опис: проблему з обробкою користувацьких схем URL-адрес вирішено завдяки вдосконаленню перевірки вводу.

CVE-2024-44155: Narendra Bhati, менеджер із кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)

Запис додано 28 жовтня 2024 р.

Sandbox

Вплив: шкідлива програма може ініціювати витік конфіденційної інформації про користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Вплив: шкідлива програма може отримувати доступ до приватної інформації.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Вплив: програма може отримати доступ до фототеки користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula із SecuRing (wojciechregula.blog), користувач Kirin (@Pwnrin) з NorthSea

Запис додано 28 жовтня 2024 р.

SceneKit

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки розміру.

CVE-2024-44144: 냥냥

Запис додано 28 жовтня 2024 р.

Screen Capture

Вплив: зловмисник із фізичним доступом до пристрою може отримати доступ до інформації із замкненого екрана.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44137: Halle Winkler (@hallewinkler) з Politepix

Запис додано 28 жовтня 2024 р.

Screen Capture

Вплив: зловмисник може переглядати обмежений вміст із замкненого екрана.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44174: Vivek Dhar

Запис додано 28 жовтня 2024 р.

Security

Вплив: шкідлива програма з привілеями користувача root може отримувати доступ до даних, що вводяться за допомогою клавіатури, і відомостей щодо місцеположення без згоди користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-44123: Wojciech Regula із SecuRing (wojciechregula.blog)

Запис додано 28 жовтня 2024 р.

Security Initialization

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), анонімний дослідник

Shortcuts

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Вплив: швидка команда могла видавати конфіденційні дані користувача без його згоди.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2024-44158: користувач Kirin (@Pwnrin)

Shortcuts

Вплив: програма може переглядати дані користувача, що відображаються у Швидких командах.

Опис: проблему з приватністю усунено завдяки вдосконаленню обробки тимчасових файлів.

CVE-2024-40844: користувачі Kirin (@Pwnrin) і luckyu (@uuulucky) з NorthSea

Sidecar

Вплив: зловмисник із фізичним доступом до пристрою macOS, на якому ввімкнено функцію Sidecar, може обходити екран блокування.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-44145: Om Kothawade й Omar A. Alanis із Фармацевтичного коледжу UNTHSC

Запис додано 28 жовтня 2024 р.

Siri

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю вирішено шляхом переміщення конфіденційних даних у безпечніше розташування.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: користувачі Kirin (@Pwnrin) і LFY (@secsys) з Університету Фудань

System Settings

Вплив: програма може читати довільні файли.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Вплив: на пристроях під керуванням MDM програма може обходити певні налаштування приватності.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) з Microsoft

Transparency

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-40859: Csaba Fitzl (@theevilbit) з Kandji

Запис оновлено 28 жовтня 2024 р.

Vim

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

CVE-2024-41957

WebKit

Вплив: обробка шкідливого вебвмісту може призводити до виконання універсальних міжсайтових сценаріїв.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Вплив: відвідування шкідливих вебсайтів може призводити до підміни адресного рядка.

Опис: проблему вирішено завдяки вдосконаленню інтерфейсу користувача.

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh і YoKo Kho (@yokoacc) з HakTrak

WebKit

Вплив: зловмисний вебсайт може призводити до витоку даних в інший домен.

Опис: виникала проблема з перехресними джерелами, що пов’язані з елементами iFrame. Цю проблему вирішено шляхом удосконаленого відстеження джерел безпеки.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, менеджер із кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)

Wi-Fi

Опис: непривілейований користувач може змінювати налаштування мережі з обмеженим доступом.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2024-44134

Wi-Fi

Вплив: зловмисник може змусити пристрій відключитися від захищеної мережі.

Опис: проблему з цілісністю вирішено завдяки Beacon Protection.

CVE-2024-40856: Domien Schepers

WindowServer

Вплив: проблема з логікою давала процесу змогу записувати вміст екрана без згоди користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44189: Tim Clem

WindowServer

Вплив: програма може обходити певні параметри приватності.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-44208: анонімний дослідник

Запис додано 28 жовтня 2024 р.

XProtect

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірки змінних середовища.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Додаткова подяка

Admin Framework

Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.

Запис оновлено 28 жовтня 2024 р.

Airport

Дякуємо за допомогу користувачу David Dudok de Wit.

Запис оновлено 28 жовтня 2024 р.

APFS

Дякуємо за допомогу користувачу Georgi Valkov з httpstorm.com.

App Store

Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.

Запис оновлено 28 жовтня 2024 р.

AppKit

Дякуємо за допомогу користувачу @08Tc3wBB з Jamf.

Apple Neural Engine

Дякуємо за допомогу користувачам Jiaxun Zhu (@svnswords) і Minghao Lin (@Y1nKoc).

Automator

Дякуємо за допомогу користувачу Koh M. Nakagawa (@tsunek0h).

Core Bluetooth

Дякуємо за допомогу користувачу Nicholas C. з Onymos Inc. (onymos.com).

Core Services

Дякуємо за допомогу користувачам Cristian Dinca з Національної вищої школи комп’ютерних наук імені Тудора Віану (Румунія), Kirin (@Pwnrin) і 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, Zhongquan Li (@Guluisacat).

CUPS

Дякуємо за допомогу користувачу moein abas.

Запис додано 28 жовтня 2024 р.

Disk Utility

Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.

dyld

Дякуємо за допомогу користувачам Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi із Shielder (shielder.com).

Запис додано 28 жовтня 2024 р.

FileProvider

Дякуємо за допомогу користувачу Kirin (@Pwnrin).

Foundation

Дякуємо за допомогу користувачу Ostorlab.

Kernel

Дякуємо за допомогу користувачам Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) із PixiePoint Security.

libxpc

Дякуємо за допомогу користувачам Rasmus Sten і F-Secure (Mastodon: @pajp@blog.dll.nu).

LLVM

Дякуємо за допомогу користувачам Victor Duta з Амстердамського університету, Fabio Pagani з Університету Каліфорнії в Санта-Барбарі, Cristiano Giuffrida з Амстердамського університету, Marius Muench і Fabian Freyer.

Maps

Дякуємо за допомогу користувачу Kirin (@Pwnrin).

Music

Дякуємо за допомогу користувачам Khiem Tran із databaselog.com/khiemtran, K宝 і LFY@secsys з Університету Фудань, Yiğit Can YILMAZ (@yilmazcanyigit).

Notification Center

Дякуємо за допомогу користувачам Kirin (@Pwnrin) і LFYSec.

Запис додано 28 жовтня 2024 р.

Notifications

Дякуємо за допомогу анонімному досліднику.

PackageKit

Дякуємо за допомогу користувачам Csaba Fitzl (@theevilbit) з Kandji, Mickey Jin (@patch1t), Zhongquan Li (@Guluisacat).

Запис оновлено 28 жовтня 2024 р.

Passwords

Дякуємо за допомогу користувачу Richard Hyunho Im (@r1cheeta).

Photos

Дякуємо за допомогу користувачам Abhay Kailasia (@abhay_kailasia) з Технологічного коледжу Лакшмі Нараян у Бхопалі (Індія), Harsh Tyagi, Leandro Chaves.

Podcasts

Дякуємо за допомогу Yiğit Can YILMAZ (@yilmazcanyigit).

Quick Look

Дякуємо за допомогу користувачу Zhipeng Huo (@R3dF09) з Tencent Security Xuanwu Lab (xlab.tencent.com).

Safari

Дякуємо за допомогу користувачам Hafiizh і YoKo Kho (@yokoacc) з HakTrak, Junsung Lee, Shaheen Fazim.

Sandbox

Дякуємо за допомогу Cristian Dinca з Національної вищої школи інформатики Тудора Віану (Румунія).

Запис оновлено 28 жовтня 2024 р.

Screen Capture

Дякуємо за допомогу користувачам Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) і анонімному досліднику.

Shortcuts

Дякуємо за допомогу користувачам Cristian Dinca з Національної вищої школи інформатики Тудора Віану (Румунія), Jacob Braun і анонімному досліднику.

Siri

Дякуємо за допомогу користувачам Abhay Kailasia (@abhay_kailasia) з Технологічного коледжу Лакшмі Нараян у Бхопалі (Індія), Rohan Paudel, анонімному досліднику.

Запис оновлено 28 жовтня 2024 р.

SystemMigration

Дякуємо за допомогу користувачам Jamey Wicklund, Kevin Jansen і анонімному досліднику.

TCC

Дякуємо за допомогу користувачам Noah Gregory (wts.dev), Vaibhav Prajapati.

UIKit

Дякуємо за допомогу користувачу Andr.Ess.

Voice Memos

Дякуємо за допомогу користувачу Lisa B.

WebKit

Дякуємо за допомогу користувачам Avi Lumelsky з Oligo Security, Uri Katz з Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle та Rıza Sabuncu.

Запис оновлено 28 жовтня 2024 р.

Wi-Fi

Дякуємо за допомогу користувачам Antonio Zekic (@antoniozekic) і ant4g0nist, Tim Michaud (@TimGMichaud) з Moveworks.ai.

WindowServer

Дякуємо за допомогу користувачу Felix Kratz.

Запис оновлено 28 жовтня 2024 р.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: листопада 04, 2024