Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Sequoia 15

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Sequoia 15.

Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Sequoia 15

Κυκλοφόρησε στις 16 Σεπτεμβρίου 2024

Accounts

Διατίθεται για: Mac Studio (2022 και νεότερα μοντέλα), iMac (2019 και νεότερα μοντέλα), Mac Pro (2019 και νεότερα μοντέλα), Mac mini (2018 και νεότερα μοντέλα), MacBook Air (2020 και νεότερα μοντέλα), MacBook Pro (2018 και νεότερα μοντέλα) και iMac Pro (2017 και νεότερα μοντέλα)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-44129

Accounts

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική δικαιωμάτων.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

APFS

Αποτέλεσμα: Μια κακόβουλη εφαρμογή με προνόμια ρίζας ενδέχεται να μπορεί να τροποποιήσει το περιεχόμενο των αρχείων συστήματος

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APN

Αποτέλεσμα: Μια εφαρμογή με προνόμια ρίζας ενδέχεται να έχει δυνατότητα πρόσβασης σε απόρρητες πληροφορίες

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη προστασία δεδομένων.

CVE-2024-44130

App Intents

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορέσει να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα που έχουν καταγραφεί όταν μια συντόμευση αποτύχει να ξεκινήσει μια άλλη εφαρμογή

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη αποκάλυψη ευαίσθητων πληροφοριών.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-44154: Michael DePlante (@izobashi) της πρωτοβουλίας Zero Day Initiative της Trend Micro

AppleGraphicsControl

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου βίντεο ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-40845: Pwn2car σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

CVE-2024-40846: Michael DePlante (@izobashi) της πρωτοβουλίας Zero Day Initiative της Trend Micro

AppleMobileFileIntegrity

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με πρόσθετους περιορισμούς υπογραφής κώδικα.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να είναι σε θέση να διαβάσει ευαίσθητες πληροφορίες

Περιγραφή: Ένα πρόβλημα υποβάθμισης αντιμετωπίστηκε με πρόσθετους περιορισμούς υπογραφής κώδικα.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα εισαγωγής στη βιβλιοθήκη αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-44168: Claudio Bozzato και Francesco Benvenuto της Cisco Talos

AppleVA

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-27860: Michael DePlante (@izobashi) της πρωτοβουλίας Zero Day Initiative της Trend Micro

CVE-2024-27861: Michael DePlante (@izobashi) της πρωτοβουλίας Zero Day Initiative της Trend Micro

AppleVA

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2024-40841: Michael DePlante (@izobashi) της πρωτοβουλίας Zero Day Initiative της Trend Micro

AppSandbox

Αποτέλεσμα: Μια επέκταση κάμερας ενδέχεται να μπορεί να αποκτήσει πρόσβαση στο διαδίκτυο

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-27795: Halle Winkler, Politepix @hallewinkler

AppSandbox

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα αρχεία μέσα σε ένα κοντέινερ sandbox εφαρμογής

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένο χειρισμό symlinks.

CVE-2024-44132: Mickey Jin (@patch1t)

Automator

Αποτέλεσμα: Μια ροή εργασίας Automator Quick Action ενδέχεται να μπορεί να παρακάμψει το Gatekeeper

Περιγραφή: Αυτό το ζήτημα αντιμετωπίστηκε με την προσθήκη μιας πρόσθετης προτροπής για συναίνεση χρήστη.

CVE-2024-44128: Anton Boegler

bless

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να επιτρέψει σε έναν εισβολέα την εγγραφή αυθαίρετων αρχείων

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορέσει να καταγράψει την οθόνη χωρίς ένδειξη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-27869: ένας ανώνυμος ερευνητής

Control Center

Αποτέλεσμα: Οι ενδείξεις απορρήτου για την πρόσβαση στο μικρόφωνο ή στην κάμερα ενδέχεται να αποδοθούν εσφαλμένα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού αρχείων.

CVE-2024-44146: ένας ανώνυμος ερευνητής

CUPS

Περιγραφή: Αυτή είναι μια ευπάθεια στον κώδικα ανοιχτού κώδικα και το λογισμικό Apple είναι ανάμεσα στα έργα που επηρεάζονται. Το CVE-ID εκχωρήθηκε από τρίτο μέρος. Μάθετε περισσότερα σχετικά με το πρόβλημα και το CVE-ID στο cve.org.

CVE-2023-4504

Disk Images

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση των χαρακτηριστικών αρχείων.

CVE-2024-44148: ένας ανώνυμος ερευνητής

Dock

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα απορρήτου αντιμετωπίστηκε με την αφαίρεση ευαίσθητων δεδομένων.

CVE-2024-44177: ένας ανώνυμος ερευνητής

FileProvider

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2024-44131: @08Tc3wBB της Jamf

Game Center

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα με την πρόσβαση σε αρχεία αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να έχει πρόσβαση στη βιβλιοθήκη Φωτογραφιών ενός χρήστη

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2024-27880: Junsung Lee

ImageIO

Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα πρόσβασης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2024-44176: dw0r του ZeroPointer Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, ένας ανώνυμος ερευνητής

Installer

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης υφής ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-44160: Michael DePlante (@izobashi) της πρωτοβουλίας Zero Day Initiative της Trend Micro

Intel Graphics Driver

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης υφής ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2024-44161: Michael DePlante (@izobashi) της πρωτοβουλίας Zero Day Initiative της Trend Micro

IOSurfaceAccelerator

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό του συστήματος

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-44169: Antonio Zekić

Kernel

Αποτέλεσμα: Κυκλοφορία δικτύου μπορεί να διαρρεύσει από ένα κανάλι VPN

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-44165: Andrew Lytvynov

Kernel

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο Bluetooth

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) και Mathy Vanhoef

libxml2

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2024-44198: OSS-Fuzz, Ned Williamson του Google Project Zero

Mail Accounts

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση στις πληροφορίες σχετικά με τις επαφές ενός χρήστη

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Ένα πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των προσωρινών αρχείων.

CVE-2024-44181: Kirin(@Pwnrin) και LFY(@secsys) του Fudan University

mDNSResponder

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα σφάλμα λογικής αντιμετωπίστηκε με βελτιωμένο χειρισμό αρχείων.

CVE-2024-44183: Olivier Levon

Model I/O

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

CVE-2023-5841

Music

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-27858: Meng Zhang (鲸落) της NorthSea, Csaba Fitzl (@theevilbit) της Offensive Security

Notes

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα αντικατάστασης αυθαίρετων αρχείων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2024-44167: ajajfxhj

Notification Center

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε γνωστοποιήσεις από τη συσκευή του χρήστη

Περιγραφή: Ένα πρόβλημα απορρήτου αντιμετωπίστηκε με τη μετακίνηση ευαίσθητων δεδομένων σε προστατευμένη θέση.

CVE-2024-40838: Brian McNulty, Cristian Dinca του «Tudor Vianu» National High School of Computer Science, Ρουμανία, Vaibhav Prajapati

NSColor

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.

CVE-2024-44186: ένας ανώνυμος ερευνητής

OpenSSH

Αποτέλεσμα: Πολλαπλά προβλήματα στο OpenSSH

CVE-2024-39894

PackageKit

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Αποτέλεσμα: Είναι δυνατή η εγγραφή ενός μη κρυπτογραφημένου εγγράφου σε προσωρινό αρχείο κατά τη χρήση της προεπισκόπησης εκτύπωσης

Περιγραφή: Ένα πρόβλημα απορρήτου αντιμετωπίστηκε με βελτιωμένο χειρισμό των αρχείων.

CVE-2024-40826: ένας ανώνυμος ερευνητής

Quick Look

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-44149: Wojciech Regula της SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) της OffSec

Safari

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση του περιβάλλοντος εργασίας χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2024-40797: Rifa'i Rejal Maynando

Sandbox

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε απόρρητες πληροφορίες

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Security Initialization

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), ένας ανώνυμος ερευνητής

Shortcuts

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Αποτέλεσμα: Μια συντόμευση μπορεί να παράγει ευαίσθητα δεδομένα χρήστη χωρίς τη συγκατάθεσή του

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη αποκάλυψη ευαίσθητων πληροφοριών.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρατηρεί δεδομένα που εμφανίζονται στον χρήστη από τις Συντομεύσεις

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένο χειρισμό προσωρινών αρχείων.

CVE-2024-40844: Kirin (@Pwnrin) και luckyu (@uuulucky) της NorthSea

Siri

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα απορρήτου αντιμετωπίστηκε με τη μετακίνηση ευαίσθητων δεδομένων σε πιο ασφαλή θέση.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) και LFY (@secsys) του Fudan University

System Settings

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης αυθαίρετων αρχείων

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Αποτέλεσμα: Σε συσκευές με διαχείριση MDM, μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει ορισμένες προτιμήσεις Απορρήτου

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) της Microsoft

Transparency

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-40859: Csaba Fitzl (@theevilbit) της Offensive Security

Vim

CVE-2024-41957

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο UI.

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh και YoKo Kho (@yokoacc) της HakTrak

WebKit

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε πρόβλημα μεικτής προέλευσης με στοιχεία «iframe». Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο εντοπισμό των προελεύσεων ασφάλειας.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager of Cyber Security της Suma Soft Pvt. Ltd, Πούνε (Ινδία)

Wi-Fi

Αποτέλεσμα: Ένας χρήστης χωρίς δικαιώματα ενδέχεται να μπορεί να τροποποιήσει απαγορευμένες ρυθμίσεις του δικτύου

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη αποκάλυψη ευαίσθητων πληροφοριών.

CVE-2024-44134

Wi-Fi

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορέσει να εξαναγκάσει μια συσκευή να αποσυνδεθεί από ένα ασφαλές δίκτυο

Περιγραφή: Ένα πρόβλημα ακεραιότητας αντιμετωπίστηκε με τις υπηρεσίες Beacon Protection.

CVE-2024-40856: Domien Schepers

WindowServer

Αποτέλεσμα: Υπήρχε ένα πρόβλημα λογικής όπου μια διεργασία μπορούσε να καταγράψει περιεχόμενο οθόνης χωρίς τη συγκατάθεση του χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-44189: Tim Clem

XProtect

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση των μεταβλητών περιβάλλοντος.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Επιπλέον αναγνώριση

Admin Framework

Θα θέλαμε να ευχαριστήσουμε τον Csaba Fitzl (@theevilbit) της Offensive Security για τη βοήθειά του.

Airport

Θα θέλαμε να ευχαριστήσουμε τους David Dudok de Wit, Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά τους.

APFS

Θα θέλαμε να ευχαριστήσουμε τον Georgi Valkov της httpstorm.com για τη βοήθειά του.

App Store

Θα θέλαμε να ευχαριστήσουμε τον Csaba Fitzl (@theevilbit) της Offensive Security για τη βοήθειά του.

AppKit

Θα θέλαμε να ευχαριστήσουμε τον @08Tc3wBB της Jamf για τη βοήθειά του.

Apple Neural Engine

Θα θέλαμε να ευχαριστήσουμε τους Jiaxun Zhu (@svnswords) και Minghao Lin (@Y1nKoc) για τη βοήθειά τους.

Automator

Θα θέλαμε να ευχαριστήσουμε τον Koh M. Nakagawa (@tsunek0h) για τη βοήθειά του.

Core Bluetooth

Θα θέλαμε να ευχαριστήσουμε τον Nicholas C. της Onymos Inc. (onymos.com) για τη βοήθειά του.

Core Services

Θα θέλαμε να ευχαριστήσουμε τους Cristian Dinca του «Tudor Vianu» National High School of Computer Science, Ρουμανία, Kirin (@Pwnrin) και 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, Zhongquan Li (@Guluisacat) για τη βοήθειά τους.

Disk Utility

Θα θέλαμε να ευχαριστήσουμε τον Csaba Fitzl (@theevilbit) της Kandji για τη βοήθειά του.

FileProvider

Θα θέλαμε να ευχαριστήσουμε τον χρήστη Kirin (@Pwnrin) για τη βοήθειά του.

Foundation

Θα θέλαμε να ευχαριστήσουμε τον χρήστη Ostorlab για τη βοήθειά του.

Kernel

Θα θέλαμε να ευχαριστήσουμε τους Braxton Anderson και Fakhri Zulkifli (@d0lph1n98) της PixiePoint Security για τη βοήθειά τους.

libxpc

Θα θέλαμε να ευχαριστήσουμε τον Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) για τη βοήθειά του.

LLVM

Θα θέλαμε να ευχαριστήσουμε τον Victor Duta του Universiteit Amsterdam, τον Fabio Pagani του University of California, Santa Barbara, τον Cristiano Giuffrida του Universiteit Amsterdam, τον Marius Muench και τον Fabian Freyer για τη βοήθειά τους.

Maps

Θα θέλαμε να ευχαριστήσουμε τον χρήστη Kirin (@Pwnrin) για τη βοήθειά του.

Music

Θα θέλαμε να ευχαριστήσουμε τους Khiem Tran του databaselog.com/khiemtran, K宝 και LFY@secsys του Fudan University, Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά τους.

Notifications

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

PackageKit

Θα θέλαμε να ευχαριστήσουμε τους Csaba Fitzl (@theevilbit) της OffSec, Mickey Jin (@patch1t), Zhongquan Li (@Guluisacat) για τη βοήθειά τους.

Passwords

Θα θέλαμε να ευχαριστήσουμε τον Richard Hyunho Im (@r1cheeta) για τη βοήθειά του.

Photos

Θα θέλαμε να ευχαριστήσουμε τους Abhay Kailasia (@abhay_kailasia) του Lakshmi Narain College of Technology Bhopal, Ινδία, Harsh Tyagi και Leandro Chaves για τη βοήθειά τους.

Podcast

Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.

Quick Look

Θα θέλαμε να ευχαριστήσουμε τον Zhipeng Huo (@R3dF09) της Tencent Security Xuanwu Lab (xlab.tencent.com) για τη βοήθειά του.

Safari

Θα θέλαμε να ευχαριστήσουμε τους Hafiizh και YoKo Kho (@yokoacc) της HakTrak, Junsung Lee, Shaheen Fazim για τη βοήθειά τους.

Sandbox

Θα θέλαμε να ευχαριστήσουμε τους Cristian Dinca του «Tudor Vianu» National High School of Computer Science, Ρουμανία, Kirin (@Pwnrin) της NorthSea, Wojciech Regula της SecuRing (wojciechregula.blog), Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά τους.

Screen Capture

Θα θέλαμε να ευχαριστήσουμε τους Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Shortcuts

Θα θέλαμε να ευχαριστήσουμε τον Cristian Dinca του «Tudor Vianu» National High School of Computer Science, Ρουμανία, τον Jacob Braun και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Siri

Θα θέλαμε να ευχαριστήσουμε τον Rohan Paudel για τη βοήθειά του.

SystemMigration

Θα θέλαμε να ευχαριστήσουμε τους Jamey Wicklund, Kevin Jansen και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

TCC

Θα θέλαμε να ευχαριστήσουμε τους Noah Gregory (wts.dev), Vaibhav Prajapati για τη βοήθειά τους.

UIKit

Θα θέλαμε να ευχαριστήσουμε τον χρήστη Andr.Ess για τη βοήθειά του.

Voice Memos

Θα θέλαμε να ευχαριστήσουμε τη Lisa B για τη βοήθειά της.

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Avi Lumelsky, Uri Katz, (Oligo Security) και Johan Carlsson (joaxcar) για τη βοήθειά τους.

Wi-Fi

Θα θέλαμε να ευχαριστήσουμε τους Antonio Zekic (@antoniozekic) και ant4g0nist, Tim Michaud (@TimGMichaud) της Moveworks.ai για τη βοήθειά τους.

WindowServer

Θα θέλαμε να ευχαριστήσουμε τον Felix Kratz και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: Σεπτεμβρίου 22, 2024