Tietoja macOS Sonoma 14.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sonoma 14.5:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

macOS Sonoma 14.5

Julkaistu 13.5.2024

Apple Neural Engine

Saatavuus: macOS Sonoma

Vaikutus: paikallinen hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sammumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-27826: Minghao Lin ja Ye Zhang (@VAR10CK, Baidu Security)

Kohta lisätty 29.7.2024

AppleAVD

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Kohta päivitetty 15.5.2024

AppleMobileFileIntegrity

Saatavuus: macOS Sonoma

Vaikutus: paikallinen hyökkääjä saattoi saada pääsyn avainnipun kohteisiin.

Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2024-27837: Mickey Jin (@patch1t) ja ajajfxhj

AppleMobileFileIntegrity

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä käyttämään käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-27816: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2024-27825: Kirin (@Pwnrin)

AppleVA

Saatavuus: macOS Sonoma

Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-27829: Amir Bazine ja Karsten König (CrowdStrike Counter Adversary Operations), Pwn2car yhteistyössä Trend Micron Zero Day Initiativen kanssa ja Michael DePlante (@izobashi, Trend Micron Zero Day Initiative)

Kohta päivitetty 29.7.2024

AVEVideoEncoder

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-27841: nimetön tutkija

CFNetwork

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.

Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.

CVE-2024-23236: Ron Masas (Imperva)

Core Data

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma korjattiin parantamalla ympäristömuuttujien validointia.

CVE-2024-27805: Kirin (@Pwnrin) ja 小来来 (@Smi1eSEC)

Kohta lisätty 10.6.2024

CoreMedia

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27817: pattern-f (@pattern_F_, Ant Security Light-Year Lab)

Kohta lisätty 10.6.2024

CoreMedia

Saatavuus: macOS Sonoma

Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-27831: Amir Bazine ja Karsten König, CrowdStrike Counter Adversary Operations

Kohta lisätty 10.6.2024

Disk Images

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27832: nimetön tutkija

Kohta lisätty 10.6.2024

Finder

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-27827: nimetön tutkija

Foundation

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27801: CertiK SkyFall Team

Kohta lisätty 10.6.2024

ImageIO

Saatavuus: macOS Sonoma

Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27836: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 10.6.2024

IOHIDFamily

Saatavuus: macOS Sonoma

Vaikutus: valtuuttamaton appi saattoi pystyä kirjaamaan toisiin appeihin syötetyt näppäinpainallukset myös suojatussa syöttötilassa.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2024-27799: nimetön tutkija

Kohta lisätty 10.6.2024

Kernel

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-27818: pattern-f (@pattern_F_, Ant Security Light-Year Lab)

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-27815: nimetön tutkija ja Joseph Ravichandran (@0xjprx), MIT CSAIL

Kohta lisätty 10.6.2024

Kernel

Saatavuus: macOS Sonoma

Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä jäljittelemään verkkopaketteja.

Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2024-27823: professori Benny Pinkas (Bar-Ilan University), professori Amit Klein (Hebrew University) ja EP

Kohta lisätty 29.7.2024

libiconv

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27811: Nick Wellnhofer

Kohta lisätty 10.6.2024

Libsystem

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: Käyttöoikeusongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi ja lisäämällä tarkistuksia.

CVE-2023-42893: nimetön tutkija

Mail

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä, jolla oli fyysinen käyttöoikeus, pystyi vuotamaan Mail-tilien kirjautumistiedot.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2024-23251: Gil Pedersen

Kohta lisätty 10.6.2024

Mail

Saatavuus: macOS Sonoma

Vaikutus: haitallinen sähköposti saattoi pystyä aloittamaan FaceTime-puheluita ilman käyttäjän lupaa.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Kohta lisätty 10.6.2024

Maps

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2024-27810: LFY@secsys (Fudan University)

Messages

Saatavuus: macOS Sonoma

Vaikutus: haitallisen sähköpostiviestin käsittely saattoi johtaa palvelunestoon.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-27800: Daniel Zajork ja Joshua Zajork

Kohta lisätty 10.6.2024

Metal

Saatavuus: macOS Sonoma

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 10.6.2024

Metal

Saatavuus: macOS Sonoma

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-27857: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Kohta lisätty 10.6.2024

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2024-27822: Scott Johnson, Mykola Grymalyuk (RIPEDA Consulting), Jordy Witteman ja Carlos Polop

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2024-27885: Mickey Jin (@patch1t)

Kohta lisätty 10.6.2024

PrintCenter

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27813: nimetön tutkija

PrintCenter

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27813: nimetön tutkija

Kohta lisätty 10.6.2024

RemoteViewServices

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä käyttämään käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-27816: Mickey Jin (@patch1t)

RemoteViewServices

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä käyttämään käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-27816: Mickey Jin (@patch1t)

Kohta lisätty 10.6.2024

Safari

Saatavuus: macOS Sonoma

Vaikutus: sivuston lupa -valintaikkuna saattoi jäädä näkyviin, kun käyttäjä navigoi pois sivustolta.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27844: Narendra Bhati (Suma Soft Pvt.) Ltd in Pune (Intia), Shaheen Fazim

Kohta lisätty 10.6.2024

SharedFileList

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-27843: Mickey Jin (@patch1t)

Shortcuts

Saatavuus: macOS Sonoma

Vaikutus: oikotie saattoi lähettää arkaluontoisia käyttäjätietoja ilman suostumusta.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2024-27821: Kirin (@Pwnrin), zbleet ja Csaba Fitzl (@theevilbit, Kandji)

Shortcuts

Saatavuus: macOS Sonoma

Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27855: nimetön tutkija

Kohta lisätty 10.6.2024

Spotlight

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla ympäristön puhdistamista.

CVE-2024-27806

Kohta lisätty 10.6.2024

StorageKit

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2024-27798: Yann GASCUEL (Alter Solutions)

StorageKit

Saatavuus: macOS Sonoma

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla lupien tarkistusta.

CVE-2024-27848: Csaba Fitzl (@theevilbit), Kandji

Kohta lisätty 10.6.2024

Sync Services

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia

CVE-2024-27847: Mickey Jin (@patch1t)

Transparency

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Ongelma on ratkaistu uudella valtuutuksella.

CVE-2024-27884: Mickey Jin (@patch1t)

Kohta lisätty 29.7.2024

udf

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27842: CertiK SkyFall Team

Voice Control

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27796: ajajfxhj

WebKit

Saatavuus: macOS Sonoma

Vaikutus: Hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 272750

CVE-2024-27834: Trend Micron Zero Day Initiativen parissa työskentelevä Manfred Paul (@_manfp)

WebKit

Saatavuus: macOS Sonoma

Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.

Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.

WebKit Bugzilla: 262337

CVE-2024-27838: Emilio Cobos, Mozilla

Kohta lisätty 10.6.2024

WebKit

Saatavuus: macOS Sonoma

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 268221

CVE-2024-27808: Benjamin Ehrfeld (CISPA Helmholtz Center for Information Security)

Kohta lisätty 10.6.2024

WebKit

Saatavuus: macOS Sonoma

Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.

Ongelma: tämä ongelma on ratkaistu parantamalla melualgoritmia.

WebKit Bugzilla: 270767

CVE-2024-27850: nimetön tutkija

Kohta lisätty 10.6.2024

WebKit

Saatavuus: macOS Sonoma

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

WebKit Bugzilla: 272106

CVE-2024-27851: Nan Wang (@eternalsakura13 / 360 Vulnerability Research Institute)

Kohta lisätty 10.6.2024

WebKit

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 272750

CVE-2024-27834: Trend Micron Zero Day Initiativen parissa työskentelevä Manfred Paul (@_manfp)

Kohta lisätty 10.6.2024

WebKit Canvas

Saatavuus: macOS Sonoma

Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 271159

CVE-2024-27830: Joe Rutkowski (@Joe12387), Crawless, ja @abrahamjuliot

Kohta lisätty 10.6.2024

WebKit Web Inspector

Saatavuus: macOS Sonoma

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 270139

CVE-2024-27820: Jeff Johnson (underpassapp.com)

Kohta lisätty 10.6.2024

Kiitokset

App Store

Haluamme kiittää avusta nimetöntä tutkijaa.

AppleMobileFileIntegrity

Haluamme kiittää avusta Mickey Jiniä (@patch1t).

Kohta lisätty 10.6.2024

CoreHAP

Haluamme kiittää avusta Adrian Cablea.

Disk Images

Haluamme kiittää avusta Mickey Jiniä (@patch1t).

Kohta lisätty 10.6.2024

HearingCore

Haluamme kiittää avusta nimetöntä tutkijaa.

ImageIO

Haluamme kiittää avusta nimetöntä tutkijaa.

Kohta lisätty 10.6.2024

Managed Configuration

Haluamme kiittää avusta käyttäjää 遥遥领先 (@晴天组织).

Music

Haluamme kiittää avusta nimetöntä tutkijaa.

Safari Downloads

Haluamme kiittää avusta Arsenii Kostrominia (0x3c3e).

Wi-Fi

Kiitämme Adam M:ää hänen antamastaan avusta.

Kohta lisätty 29.7.2024

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: