Tietoja macOS Sequoia 15:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sequoia 15:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Sequoia 15

Julkaistu 16.9.2024

Accounts

Saatavuus: Mac Studio (2022 ja sitä uudemmat), iMac (2019 ja sitä uudemmat), Mac Pro (2019 ja sitä uudemmat), Mac mini (2018 ja sitä uudemmat), MacBook Air (2020 ja sitä uudemmat), MacBook Pro (2018 ja sitä uudemmat) ja iMac Pro (2017 ja sitä uudemmat)

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44129

Accounts

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

AirPort

Vaikutus: haitallinen appi saattoi pystyä muuttamaan verkkoasetuksia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

Kohta lisätty 28.10.2024

APFS

Vaikutus: haitallinen appi, jolla on pääkäyttöoikeudet, saattoi pystyä muokkaamaan järjestelmätiedostojen sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2024-44130

App Intents

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia tietoja, jotka kirjataan, kun toisen apin käynnistäminen pikakomennolla epäonnistuu.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: muistinalustusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44154: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppleGraphicsControl

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-40845: Pwn2car yhteistyössä Trend Micro Zero Day Initiativen kanssa

CVE-2024-40846: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppleMobileFileIntegrity

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Vaikutus: hyökkääjä saattoi pystyä lukemaan arkaluonteisia tietoja.

Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: kirjaston injektointiin liittyvä ongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44168: Claudio Bozzato ja Francesco Benvenuto / Cisco Talos

AppleVA

Vaikutus: appi saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-27860: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2024-27861: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppleVA

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-40841: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppSandbox

Vaikutus: kameralaajennus saattoi pystyä käyttämään internetiä.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-27795: Halle Winkler (@hallewinkler, Politepix)

AppSandbox

Vaikutus: appi saatto pystyä käyttämään eristetyssä käyttöympäristössä olevia suojattuja tiedostoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44126: Holger Fuhrmannek

Kohta lisätty 28.10.2024

Automator

Vaikutus: Automator Quick Action ‑työnkulku saattoi pystyä ohittamaan Gatekeeperin.

Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.

CVE-2024-44128: Anton Boegler

bless

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Vaikutus: Haitta-arkiston purkaminen saattaa sallia hyökkääjälle satunnaistiedostojen kirjoittamisen.

Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Contacts

Vaikutus: appi saattoi pystyä käyttämään yhteystietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-44172: Kirin (@Pwnrin)

Kohta päivitetty 27.1.2025

Control Center

Vaikutus: appi saattoi pystyä tallentamaan näytön ilman ilmaisinta.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27869: nimetön tutkija

Control Center

Vaikutus: mikrofonin ja kameran käytön yksityisyysilmaisinten attribuuttitiedot saattoivat olla virheelliset.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: logiikkaongelma on korjattu parantamalla tiedostojen käsittelyä.

CVE-2024-44146: nimetön tutkija

Core Data

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

Kohta lisätty 28.10.2024

CUPS

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2023-4504

DiskArbitration

Vaikutus: eristetty appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-40855: Csaba Fitzl (@theevilbit, Kandji)

Kohta lisätty 28.10.2024

Disk Images

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tiedostoattribuuttien tarkistamista.

CVE-2024-44148: nimetön tutkija

Dock

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2024-44177: nimetön tutkija

FileProvider

Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54469: Csaba Fitzl (@theevilbit), Kandji

Kohta lisätty 3.3.2025

FileProvider

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2024-44131: @08Tc3wBB (Jamf)

Game Center

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tiedostojen käyttöön liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Vaikutus: appi saattoi pystyä käyttämään siirrettäviä taltioita ilman käyttäjän suostumusta.

Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2024-54463: Yiğit Can YILMAZ (@yilmazcanyigit)

Kohta lisätty 3.3.2025

Image Capture

Vaikutus: appi saattoi pystyä tarkastelemaan käyttäjän Kuvat-kirjastoa.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-27880: Junsung Lee

ImageIO

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-44176: dw0r ZeroPointer Labista yhteistyössä Trend Micron Zero Day Initiativen kanssa, nimetön tutkija

Installer

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Vaikutus: haitallisen tekstuurin käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44160: Michael DePlante (@izobashi) / Trend Micron Zero Day Initiative

Intel Graphics Driver

Vaikutus: haitallisen tekstuurin käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-44161: Michael DePlante (@izobashi) / Trend Micron Zero Day Initiative

IOSurfaceAccelerator

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44169: Antonio Zekić

Kernel

Vaikutus: verkkoliikenne saattoi vuotaa VPN-tunnelin ulkopuolelle.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-44165: Andrew Lytvynov

Kernel

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2024-44175: Csaba Fitzl (@theevilbit, Kandji)

Kohta lisätty 28.10.2024

Kernel

Vaikutus: appi saattoi saada Bluetoothin käyttöön luvattomasti.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ja Mathy Vanhoef

LaunchServices

Vaikutus: haitallinen appi saattoi pystyä muokkaamaan muita appeja ilman appien hallintaoikeutta.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)

Kohta lisätty 3.3.2025

LaunchServices

Vaikutus: Ohjelma saattoi pystyä poistumaan eristyksestään.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-44122: nimetön tutkija

Kohta lisätty 28.10.2024

libxml2

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)

Mail Accounts

Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2024-54473: Kirin (@Pwnrin)

Kohta lisätty 3.3.2025

Maps

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-44181: Kirin(@Pwnrin) ja LFY(@secsys) Fudan-yliopistosta

mDNSResponder

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.

CVE-2024-44183: Olivier Levon

Model I/O

Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

CVE-2023-5841

Music

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-27858: Meng Zhang (鲸落, NorthSea), Csaba Fitzl (@theevilbit, Kandji)

Kohta päivitetty 28.10.2024

Notes

Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-44167: ajajfxhj

Notification Center

Vaikutus: haitallinen appi saattoi pystyä käyttämään käyttäjän laiteilmoituksia.

Kuvaus: tietosuojaongelma on ratkaistu siirtämällä arkaluonteiset tiedot suojattuun sijaintiin.

CVE-2024-40838: Brian McNulty, Cristian Dinca ("Tudor Vianu" National High School of Computer Science, Romania), Vaibhav Prajapati

NSColor

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2024-44186: nimetön tutkija

OpenSSH

Vaikutus: OpenSSH:ssa oli useita ongelmia.

CVE-2024-39894

PackageKit

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Vaikutus: salaamaton dokumentti saatettiin kirjoittaa tilapäiseen tiedostoon tulostuksen esikatselua käytettäessä.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-40826: nimetön tutkija

Quick Look

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44149: Wojciech Regula (SecuRing, wojciechregula.blog), Csaba Fitzl (@theevilbit, Kandji)

Kohta päivitetty 28.10.2024

Safari

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Vaikutus: Haitallinen verkkosisältö saattoi rikkoa iframe-eristyskäytännön.

Kuvaus: Mukautetun URL-mallin käsittelyongelma korjattiin parantamalla annettujen tietojen vahvistusta.

CVE-2024-44155: Narendra Bhati (kyberturvallisuuden johtaja, Suma Soft Pvt. Ltd, Pune, Intia)

Kohta lisätty 28.10.2024

Sandbox

Vaikutus: Haittaohjelma saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Vaikutus: haittaohjelma saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Vaikutus: appi saattoi pystyä tarkastelemaan käyttäjän Kuvat-kirjastoa.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula (SecuRing, wojciechregula.blog), Kirin (@Pwnrin, NorthSea)

Kohta lisätty 28.10.2024

SceneKit

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla koon tarkistusta.

CVE-2024-44144: 냥냥

Kohta lisätty 28.10.2024

Screen Capture

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy, saattoi pystyä jakamaan kohteita lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44137: Halle Winkler (Politepix, @hallewinkler)

Kohta lisätty 28.10.2024

Screen Capture

Vaikutus: hyökkääjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44174: Vivek Dhar, avustava alitarkastaja (RM), rajaturvallisuusjoukot (raja-alueen päätoimipiste BSF, Kashmir)

Kohta lisätty 28.10.2024, päivitetty 3.3.2025

Security

Vaikutus: haitallinen appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään näppäimistön syöttötietoja ja sijaintitietoja ilman käyttäjän suostumusta.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44123: Wojciech Regula (SecuRing, wojciechregula.blog)

Kohta lisätty 28.10.2024

Security Initialization

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), nimetön tutkija

Shortcuts

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Vaikutus: oikotie saattoi lähettää arkaluontoisia käyttäjätietoja ilman suostumusta.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Vaikutus: appi saattoi pystyä tarkkailemaan käyttäjälle Pikakomennot-apin kautta näytettäviä tietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-40844: Kirin (@Pwnrin) ja luckyu (@uuulucky) / NorthSea

Sidecar

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy macOS-laitteeseen, jossa Sidecar oli käytössä, saattoi pystyä ohittamaan lukitun näytön.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44145: Om Kothawade, Omar A. Alanis (UNTHSC College of Pharmacy)

Kohta lisätty 28.10.2024

Siri

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä lukemaan yhteyshenkilöiden puhelinnumeroita lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2024-44179: Bistrit Dahal, Matej Moravec (@MacejkoMoravec)

Kohta lisätty 3.3.2025

Siri

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu siirtämällä arkaluontoiset tiedot entistä turvallisempaan sijaintiin.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) ja LFY (@secsys) Fudan-yliopistosta

System Settings

Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Vaikutus: appi saattoi pystyä huijaamaan käyttäjää antamaan oikeudet käyttäjän kuvakirjaston kuviin.

Kuvaus: klikkauskaappaukseen liittyvä ongelma ratkaistiin parantamalla prosessin ulkopuolisen näkymän käsittelyä.

CVE-2024-54558: Ron Masas (BreakPoint.sh) ja nimetön tutkija

Kohta lisätty 3.3.2025

TCC

Vaikutus: appi saattoi pystyä ohittamaan tietyt yksityisyysasetukset MDM-hallinnassa olevissa laitteissa.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft)

Transparency

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40859: Csaba Fitzl (@theevilbit, Kandji)

Kohta päivitetty 28.10.2024

Vim

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

CVE-2024-41957

WebKit

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Evästeiden hallintaongelma ratkaistiin parantamalla tilan hallintaa.

WebKit Bugzilla: 287874

CVE-2024-54467: Narendra Bhati (kyberturvallisuuden johtaja, Suma Soft Pvt. Ltd, Pune, Intia)

Kohta lisätty 3.3.2025

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 268770

CVE-2024-44192: Tashita Software Security

Kohta lisätty 3.3.2025

WebKit

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: ongelma ratkaistiin parantamalla käyttöliittymää.

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh ja YoKo Kho (@yokoacc) (HakTrak)

WebKit

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: iFrame-elementeissä esiintyi eri alkuperiin liittyvä ongelma. Tämä on ratkaistu parantamalla suojauksen lähteiden seurantaa.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati (Manager – Cyber Security, Suma Soft Pvt. Ltd, Pune, Intia)

Wi-Fi

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44227: Tim Michaud (@TimGMichaud, Moveworks.ai)

CVE-2024-54546: Antonio Zekic (@antoniozekic) ja ant4g0nist

Kohta lisätty 3.3.2025

Wi-Fi

Vaikutus: käyttäjä saattoi pystyä muuttamaan rajoitettuja verkkoasetuksia ilman asianmukaisia käyttöoikeuksia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2024-44134

Wi-Fi

Vaikutus: hyökkääjä saattoi pystyä pakottamaan laitteen katkaisemaan yhteyden turvalliseen verkkoon.

Kuvaus: eheysongelma ratkaistiin Beacon Protectionin avulla.

CVE-2024-40856: Preet Dsouza (Fleming College, tietoturvallisuuden ja tutkinnan koulutusohjelma), Domien Schepers

Kohta päivitetty 3.3.2025

WindowServer

Vaikutus: prosessi saattoi logiikkaongelman vuoksi pystyä tallentamaan näytön sisällön ilman käyttäjän suostumusta.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44189: Tim Clem

WindowServer

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44208: nimetön tutkija

Kohta lisätty 28.10.2024

XProtect

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma korjattiin parantamalla ympäristömuuttujien validointia.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Kiitokset

Admin Framework

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.

Kohta päivitetty 28.10.2024

AirPort

Haluamme kiittää avusta David Dudok de Witiä.

Kohta päivitetty 28.10.2024

APFS

Haluamme kiittää Georgi Valkovia (httpstorm.com) hänen antamastaan avusta.

App Store

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.

Kohta päivitetty 28.10.2024

AppKit

Haluamme kiittää nimimerkkiä @08Tc3wBB (Jamf) hänen antamastaan avusta.

Apple Neural Engine

Haluamme kiittää Jiaxun Zhuta (@svnswords) ja Minghao Liniä (@Y1nKoc) heidän antamastaan avusta.

Automator

Haluamme kiittää Koh M. Nakagawaa (@tsunek0h) hänen antamastaan avusta.

Core Bluetooth

Haluamme kiittää Nicholas C:tä (Onymos Inc, onymos.com) hänen antamastaan avusta.

Core Services

Haluamme kiittää Cristian Dincaa ("Tudor Vianu" National High School of Computer Science, Romania), Kiriniä (@Pwnrin), nimimerkkiä 7feilee, Snoolie Keffaberiä (@0xilis), Tal Lossosia ja Zhongquan Li:tä (@Guluisacat) heidän antamastaan avusta.

CUPS

Haluamme kiittää moein abasia hänen antamastaan avusta.

Kohta lisätty 28.10.2024

Disk Utility

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.

dyld

Haluamme kiittää Pietro Francesco Tirennaa, Davide Silvettiä ja Abdel Adim Oisfia (Shielder, shielder.com) heidän antamastaan avusta.

Kohta lisätty 28.10.2024

FileProvider

Haluamme kiittää avusta Kiriniä (@Pwnrin).

Foundation

Haluamme kiittää Ostorlabia heidän antamastaan avusta.

ImageIO

Haluamme kiittää avusta Junsung Leetä.

Kohta lisätty 3.3.2025

Kernel

Haluamme kiittää Braxton Andersonia ja Fakhri Zulkiflia (@d0lph1n98, PixiePoint Security) heidän antamastaan avusta.

libxpc

Haluamme kiittää Rasmus Steniä (F-Secure, Mastodon: @pajp@blog.dll.nu) hänen antamastaan avusta.

LLVM

Haluamme kiittää Victor Dutaa (Universiteit Amsterdam), Fabio Pagania (University of California, Santa Barbara), Cristiano Giuffridaa (Universiteit Amsterdam), Marius Muenchia ja Fabian Freyeriä heidän antamastaan avusta.

Maps

Haluamme kiittää avusta Kiriniä (@Pwnrin).

Music

Haluamme kiittää Khiem Trania (databaselog.com/khiemtran), nimimerkkejä K宝 ja LFY@secsys (Fudan University) ja Yiğit Can YILMAZia (@yilmazcanyigit) heidän antamastaan avusta.

Notification Center

Haluamme kiittää Kirinia (@Pwnrin) ja LFYSeciä heidän antamastaan avusta.

Kohta lisätty 28.10.2024

Notifications

Haluamme kiittää avusta nimetöntä tutkijaa.

PackageKit

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji), Mickey Jiniä (@patch1t) ja Zhongquan Litä (@Guluisacat) heidän antamastaan avusta.

Kohta päivitetty 28.10.2024

Passwords

Haluamme kiittää Richard Hyunho Imiä (@r1cheeta) hänen antamastaan avusta.

Photos

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia), Harsh Tyagia, Kenneth Chewiä, Leandro Chavesia, Saurabh Kumaria (Technocrat Institute of Technology, Bhopal), Shibin B Shajia, Vishnu Prasad P G:tä, nimimerkkiä UST, Yusuf Kelanya ja Junior Vergaraa.

Kohta päivitetty 3.3.2025

Podcasts

Haluamme kiittää Yiğit Can YILMAZia (@yilmazcanyigit) hänen avustaan.

Quick Look

Haluamme kiittää Zhipeng Huota (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com) hänen antamastaan avusta.

Safari

Haluamme kiittää avusta Arthur Csatlósia (Alef Union, alefunion.com), Hafiizhia ja YoKo Khota (@yokoacc, HakTrak), Junsung Leetä sekä Shaheen Fazimia.

Kohta päivitetty 3.3.2025

Sandbox

Haluamme kiittää avusta Cristian Dincaa (Tudor Vianu National High School of Computer Science, Romania).

Kohta päivitetty 28.10.2024

Screen Capture

Haluamme kiittää Joshua Jewettiä (@JoshJewett33), Yiğit Can YILMAZia (@yilmazcanyigit) ja nimetöntä tutkijaa heidän antamastaan avusta.

SharePlay

Haluamme kiittää avusta nimetöntä tutkijaa.

Kohta lisätty 3.3.2025

Shortcuts

Haluamme kiittää Cristian Dincaa ("Tudor Vianu" National High School of Computer Science, Romania), Jacob Braunia ja nimetöntä tutkijaa heidän antamastaan avusta.

Siri

Haluamme kiittää Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia), Rohan Paudelia ja nimetöntä tutkijaa heidän antamastaan avusta.

Kohta päivitetty 28.10.2024

SystemMigration

Haluamme kiittää Jamey Wicklundia, Kevin Jansenia ja nimetöntä tutkijaa heidän antamastaan avusta.

System Settings

Haluamme kiittää Koh M. Nakagawaa (@tsunek0h) hänen antamastaan avusta.

Kohta lisätty 3.3.2025

TCC

Haluamme kiittää Noah Gregorya (wts.dev) ja Vaibhav Prajapatia heidän antamastaan avusta.

Terminal

Haluamme kiittää Koh M. Nakagawaa (@tsunek0h) hänen antamastaan avusta.

Kohta lisätty 3.3.2025

UIKit

Haluamme kiittää nimimerkkiä Andr.Ess hänen antamastaan avusta.

Voice Memos

Haluamme kiittää Lisa B:tä hänen antamastaan avusta.

WebKit

Haluamme kiittää Avi Lumelskya (Oligo Security), Uri Katzia (Oligo Security), Braylonia (@softwarescool), Eli Greytä (eligrey.com), Johan Carlssonia (joaxcar), Numan Türlea ja Rıza Sabuncua heidän antamastaan avusta.

Kohta päivitetty 28.10.2024

WindowServer

Haluamme kiittää Felix Kratzia hänen antamastaan avusta.

Kohta päivitetty 28.10.2024

XprotectFramework

Haluamme kiittää Koh M. Nakagawaa (@tsunek0h) hänen antamastaan avusta.

Kohta lisätty 3.3.2025

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 15. elokuuta 2025