Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Sonoma 14.4
Julkaistu 7.3.2024
Accessibility
Saatavuus: macOS Sonoma
Vaikutus: haitallinen appi saattoi pystyä tarkastelemaan käyttäjätietoja käyttöapuilmoitusten lokimerkinnöissä.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-23291
Admin Framework
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-23276: Kirin (@Pwnrin)
AirPort
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Saatavuus: macOS Sonoma
Vaikutus: tälle apille myönnettyjä oikeuksia ja tietosuojalupia saattoi käyttää myös haitallinen appi.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2024-23233: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.
CVE-2024-23269: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2024-23288: Wojciech Regula (SecuRing, wojciechregula.blog) ja Kirin (@Pwnrin)
Bluetooth
Saatavuus: macOS Sonoma
Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä syöttämään näppäinpainalluksia väärentämällä näppäimistön.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-23277: Marc Newlin (SkySafe)
ColorSync
Saatavuus: macOS Sonoma
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-23247: m4yfly (TianGong Team, Legendsec, Qi'anxin Group)
ColorSync
Saatavuus: macOS Sonoma
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-23248: m4yfly (TianGong Team, Legendsec, Qi’anxin Group)
CVE-2024-23249: m4yfly (TianGong Team, Legendsec, Qi’anxin Group)
CoreBluetooth - LE
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään Bluetoothiin yhdistettyjä mikrofoneja ilman käyttäjän lupaa.
Kuvaus: käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.
CVE-2024-23250: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Dock
Saatavuus: macOS Sonoma
Vaikutus: tavallisen käyttäjätilin appi saattoi pystyä laajentamaan käyttöoikeuksiaan ylläpitäjäkäyttäjän sisäänkirjautumisen jälkeen.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2024-23244: Csaba Fitzl (@theevilbit, OffSec)
ExtensionKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-23205
file
Saatavuus: macOS Sonoma
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-48554
Image Capture
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä tarkastelemaan käyttäjän Kuvat-kirjastoa.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2024-23253: Mickey Jin (@patch1t)
Image Processing
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-23270: nimetön tutkija
ImageIO
Saatavuus: macOS Sonoma
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-23257: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen kanssa
ImageIO
Saatavuus: macOS Sonoma
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-23258: Zhenjiang Zhao (pangu team, Qianxin)
ImageIO
Saatavuus: macOS Sonoma
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Intel Graphics Driver
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2024-23235
Kernel
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.
CVE-2024-23265: Xinru Chi (Pangu Lab)
Kernel
Saatavuus: macOS Sonoma
Vaikutus: Hyökkääjä, jolla oli mielivaltaiset kernelin luku- ja kirjoitusoikeudet, saattoi ohittaa kernelin muistisuojaukset. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2024-23225
libxpc
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-23278: nimetön tutkija
libxpc
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-0258: ali yabuz
MediaRemote
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-23279: nimetön tutkija
Messages
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2024-23287: Kirin (@Pwnrin)
Metal
Saatavuus: macOS Sonoma
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) yhteistyössä Trend Micron Zero Day Initiativen kanssa
Music
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä luomaan symbolisia linkkejä levyn suojattuihin osiin.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2024-23285: @08Tc3wBB (Jamf)
Notes
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-23283
OpenSSH
Saatavuus: macOS Sonoma
Vaikutus: OpenSSH:ssa oli useita ongelmia.
Kuvaus: useita ongelmia on ratkaistu päivittämällä OpenSSH versioon 9.6.
CVE-2023-48795
CVE-2023-51384
CVE-2023-51385
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-42816: Mickey Jin (@patch1t)
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä ohittamaan tietyt yksityisyysasetukset.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: annettujen tietojen tarkistusongelma on korjattu parantamalla tietojen syötön tarkistusta.
CVE-2024-23268: Mickey Jin (@patch1t), Pedro Tôrres (@t0rr3sp3dr0)
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-42853: Mickey Jin (@patch1t)
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2024-23275: Mickey Jin (@patch1t)
Photos
Saatavuus: macOS Sonoma
Vaikutus: Kätketyt-albumin kuvia saattoi katsoa ilman todentautumista
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2024-23255: Harsh Tyagi
QuartzCore
Saatavuus: macOS Sonoma
Vaikutus: haitallisen syötteen käsitteleminen saattoi johtaa koodin suorittamiseen.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2024-23294: Wojciech Regula (SecuRing, wojciechregula.blog)
RTKit
Saatavuus: macOS Sonoma
Vaikutus: Hyökkääjä, jolla oli mielivaltaiset kernelin luku- ja kirjoitusoikeudet, saattoi ohittaa kernelin muistisuojaukset. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2024-23296
Safari
Saatavuus: macOS Sonoma
Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-23259: Lyra Rebane (rebane2001)
Safari Private Browsing
Saatavuus: macOS Sonoma
Vaikutus: Yksityisen selauksen välilehtiä voitiin käyttää ilman todennusta.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-23273: Matej Rabzelj
Sandbox
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan NVRAM-muuttujia.
Kuvaus: käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.
CVE-2024-23238
Sandbox
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2024-23239: Mickey Jin (@patch1t)
Sandbox
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2024-23290: Wojciech Regula (SecuRing, wojciechregula.blog)
Screen Capture
Saatavuus: macOS Sonoma
Vaikutus: Sovellus saattoi pystyä ottamaan kuvan käyttäjän näytöstä.
Kuvaus: Tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2024-23232: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-23231: Kirin (@Pwnrin) ja luckyu (@uuulucky)
SharedFileList
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tiedostojen käsittelyä.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Saatavuus: macOS Sonoma
Vaikutus: muiden valmistajien pikakomennot saattoivat pystyä lähettämään tapahtumia appeihin ilman käyttäjän suostumusta vanhan Automator-toiminnon avulla.
Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.
CVE-2024-23245: nimetön tutkija
Shortcuts
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2024-23292: K宝 ja LFY@secsys (Fudan-yliopisto)
Siri
Saatavuus: macOS Sonoma
Vaikutus: henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi käyttää Siriä yksityisten kalenteritietojen saamiseen.
Kuvaus: Lukitun näytön ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-23289: Lewis Hardy
Siri
Saatavuus: macOS Sonoma
Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-23293: Bistrit Dahal
Spotlight
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-23241
Storage Services
Saatavuus: macOS Sonoma
Vaikutus: käyttäjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-23272: Mickey Jin (@patch1t)
Synapse
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä tarkastelemaan Mail-tietoja.
Kuvaus: tietosuojaongelma on ratkaistu jättämällä tekstikenttien sisällön kirjaaminen pois.
CVE-2024-23242
System Settings
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-23281: Joshua Jewett (@JoshJewett33)
TV App
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu poistamalla lisäoikeudet.
CVE-2024-23260: Joshua Jewett (@JoshJewett33)
UIKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2024-23246: Deutsche Telekom Security GmbH Bundesamt für Sicherheit in der Informationstechnikin sponsoroimana
WebKit
Saatavuus: macOS Sonoma
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Saatavuus: macOS Sonoma
Vaikutus: Haitallinen verkkosivusto saattoi vuotaa äänitietoja eri alkuperien kesken.
Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Saatavuus: macOS Sonoma
Vaikutus: Haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Saatavuus: macOS Sonoma
Vaikutus: haitallinen verkkosivu saattoi pystyä tallentamaan käyttäjän sormenjäljen.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla validointia.
WebKit Bugzilla: 266703
CVE-2024-23280: nimetön tutkija
WebKit
Saatavuus: macOS Sonoma
Vaikutus: Haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber ja Marco Squarcina
Kiitokset
AppKit
Haluamme kiittää avusta Stephan Casasia.
CoreAnimation
Haluamme kiittää avusta Junsung Leetä.
CoreMotion
Haluamme kiittää avusta Eric Dorphya (Twin Cities App Dev LLC).
Endpoint Security
Haluamme kiittää avusta Matthew Whitea.
Find My
Haluamme kiittää avusta Meng Zhangia (鲸落) (NorthSea).
Kernel
Haluamme kiittää avusta Tarek Joumaata (@tjkr0wn) ja Junsung Leetä (이준성).
libarchive
Haluamme kiittää avusta koocolaa.
libxml2
Haluamme kiittää avusta OSS-Fuzzia sekä Ned Williamsonia (Google Project Zero).
libxpc
Haluamme kiittää avusta Rasmus Steniä (F-Secure, Mastodon: @pajp@blog.dll.nu) ja nimetöntä tutkijaa.
Model I/O
Haluamme kiittää avusta Junsung Leetä.
Photos
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal).
Power Management
Haluamme kiittää avusta Pan ZhenPengiä (@Peterpan0927, STAR Labs SG Pte. Ltd.).
Safari
Haluamme kiittää avusta Abhinav Saraswatia, Matthew C:tä ja tutkijaa 이동하 (Lee Dong Ha, ZeroPointer Lab).
SharedFileList
Haluamme kiittää avusta Phil Schneideria (Canva).
Siri
Haluamme kiittää avusta Bistrit Dahalia.
Storage Driver
Haluamme kiittää avusta Liang Weitä (PixiePoint Security).
SystemMigration
Haluamme kiittää avusta Eugene Gershnikiä.
TCC
Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.
WebKit
Haluamme kiittää avusta Nan Wangia (@eternalsakura13, 360 Vulnerability Research Institute), Valentino Dalla Vallea, Pedro Bernardoa, Marco Squarcinaa ja Lorenzo Veronesea (TU Wien).