מידע על תוכן האבטחה של macOS Sequoia 15

מסמך זה מתאר את תוכן האבטחה של macOS Sequoia 15.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Sequoia 15

הופץ ב-16 בספטמבר 2024

Accounts

זמין עבור: Mac Studio ‏(2022 ואילך), iMac ‏(2019 ואילך), ‏Mac Pro ‏(2019 ואילך), Mac Mini ‏(2018 ואילך), ‏MacBook Air ‏(2020 ואילך), MacBook Pro ‏(2018 ואילך) ו-iMac Pro ‏(2017 ואילך)

השפעה: יישום עלול להצליח להדליף מידע רגיש אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44129

Accounts

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.

CVE-2024-44153: ‏Mickey Jin‏ (‎@patch1t)

Accounts

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-44188: ‏Bohdan Stasiuk ‏(‎@Bohdan_Stasiuk)

AirPort

השפעה: יישום זדוני עלול להצליח לשנות את הגדרות הרשת

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-40792: ‏Yiğit Can YILMAZ‏ (‎@yilmazcanyigit)

הרשומה נוספה ב-28 באוקטובר 2024

APFS

השפעה: יישום זדוני עם הרשאות בסיס עשוי לשנות את התוכן של קובצי המערכת

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-40825: ‏Pedro Tôrres ‏(‎@t0rr3sp3dr0)

APNs

השפעה: יישום עם הרשאות בסיס עלול להצליח לקבל גישה למידע פרטי

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2024-44130

App Intents

השפעה: יישום עלול להצליח לגשת לנתונים רגישים הנרשמים כאשר קיצור נכשל בהפעלה של יישום אחר

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-44182: ‏Kirin‏ (‎@Pwnrin)

AppleGraphicsControl

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-44154: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

AppleGraphicsControl

השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-40845: ‏Pwn2car יחד עם Trend Micro Zero Day Initiative

CVE-2024-40846: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

AppleMobileFileIntegrity

השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2024-44164: ‏Mickey Jin‏ (‎@patch1t)

AppleMobileFileIntegrity

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-40837: ‏Kirin‏ (‎@Pwnrin)

AppleMobileFileIntegrity

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות הגבלות נוספות על חתימת קוד.

CVE-2024-40847: ‏Mickey Jin‏ (‎@patch1t)

AppleMobileFileIntegrity

השפעה: תוקף עלול להצליח לקרוא מידע רגיש

תיאור: בעיית שנמוך טופלה באמצעות הגבלות נוספות על חתימת קוד.

CVE-2024-40848: ‏Mickey Jin‏ (‎@patch1t)

AppleMobileFileIntegrity

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית החדרת ספריות טופלה באמצעות הגבלות נוספות.

CVE-2024-44168: ‏Claudio Bozzato ו-Francesco Benvenuto מ-Cisco Talos

AppleVA

השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-27860: ‏Michael DePlante ‏(‎@izobashi) מ-Trend Micro Zero Day Initiative

CVE-2024-27861: ‏Michael DePlante ‏(‎@izobashi) מ-Trend Micro Zero Day Initiative

AppleVA

השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2024-40841: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

AppSandbox

השפעה: הרחבת מצלמה עלולה להצליח לגשת לאינטרנט

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-27795: ‏Halle Winkler‏, Politepix @hallewinkler

AppSandbox

השפעה: יישום עלול להצליח לגשת לקבצים מוגנים בגורם מכיל של ארגז חול של יישום

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-44135: ‏Mickey Jin‏ (‎@patch1t)

ArchiveService

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2024-44132: מיקי ג'ין (‎@patch1t)

ARKit

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44126: ‏Holger Fuhrmannek

הרשומה נוספה ב-28 באוקטובר 2024

Automator

השפעה: תהליך עבודה של פעולה מהירה ב-Automator עלול להצליח לעקוף את Gatekeeper

תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.

CVE-2024-44128: ‏Anton Boegler

bless

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-44151: ‏Mickey Jin‏ (‎@patch1t)

Compression

השפעה: פירוק ארכיון בעל מבנה זדוני עלול לאפשר לתוקף לכתוב קבצים שרירותיים

תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.

CVE-2024-27876: ‏Snoolie Keffaber‏ (‎@0xilis)

Control Center

השפעה: יישום עלול להצליח להקליט את המסך ללא מחוון

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27869: חוקר אנונימי

Control Center

השפעה: ייתכן ייחוס לא נכון של מחווני פרטיות עבור גישה למיקרופון או למצלמה

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2024-27875: ‏Yiğit Can YILMAZ‏ (‎@yilmazcanyigit)

copyfile

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית לוגיקה תוקנה באמצעות טיפול משופר בקבצים.

CVE-2024-44146: חוקר אנונימי

Core Data

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-27849: ‏Kirin‏ (‎@Pwnrin), ‏Rodolphe Brunetti‏ (‎@eisw0lf)

הרשומה נוספה ב-28 באוקטובר 2024

CUPS

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2023-4504

DiskArbitration

השפעה: יישום עם תכונת 'ארגז חול' עשוי להיות מסוגל לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-40855: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji

הרשומה נוספה ב-28 באוקטובר 2024

Disk Images

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות אימות משופר של תכונות קבצים.

CVE-2024-44148: חוקר אנונימי

Dock

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.

CVE-2024-44177: חוקר אנונימי

FileProvider

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2024-44131: ‏‎@08Tc3wBB מ-Jamf

Game Center

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית גישה לקבצים טופלה באמצעות אימות קלט משופר.

CVE-2024-40850: ‏Denis Tokarev‏ (‎@illusionofcha0s)

Image Capture

השפעה: יישום עלול להצליח לגשת לספריית התמונות של משתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-40831: מיקי ג'ין (‎@patch1t)

ImageIO

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-27880: ‏Junsung Lee

ImageIO

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2024-44176: ‏dw0r מ-ZeroPointer Lab יחד עם Trend Micro Zero Day Initiative, חוקר אנונימי

Installer

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-40861: מיקי ג'ין (‎@patch1t)

Intel Graphics Driver

השפעה: עיבוד מרקם בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-44160: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

Intel Graphics Driver

השפעה: עיבוד מרקם בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2024-44161: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

IOSurfaceAccelerator

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-44169: ‏Anton Boegler

Kernel

השפעה: תעבורת רשת עלולה לדלוף אל מחוץ למנהרת VPN

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-44165: ‏Andrew Lytvynov

Kernel

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2024-44175: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji

הרשומה נוספה ב-28 באוקטובר 2024

Kernel

השפעה: יישום עלול לקבל גישה לא מורשית ל-Bluetooth

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44191‏: Alexander Heinrich‏, SEEMOO‏, DistriNet‏, KU Leuven (@vanhoefm)‏, TU Darmstadt (@Sn0wfreeze) ו-Mathy Vanhoef

LaunchServices

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-44122: חוקר אנונימי

הרשומה נוספה ב-28 באוקטובר 2024

libxml2

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2024-44198: ‏OSS-Fuzz, נד וויליאמסון מ-Google Project Zero

Mail Accounts

השפעה: יישום עלול להצליח לגשת למידע על אנשי הקשר של משתמש

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-40791: ‏Rodolphe BRUNETTI‏ (‎@eisw0lf)

Maps

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2024-44181: ‏Kirin‏ (‎@Pwnrin) ו-LFY‏מ (‎@secsys) מ-Fudan University

mDNSResponder

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: שגיאת לוגיקה טופלה באמצעות טיפול משופר בשגיאות.

CVE-2024-44183: ‏Olivier Levon

Model I/O

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות

CVE-2023-5841

Music

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-27858: ‏Meng Zhang‏ (鲸落) מ-NorthSea, ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji

הרשומה עודכנה ב-28 באוקטובר 2024

Notes

השפעה: יישום עלול להצליח למחוק קבצים שרירותיים

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2024-44167: ‏ajajfxhj

Notification Center

השפעה: יישום זדוני עלול להצליח לגשת לעדכונים מהמכשיר של המשתמש

תיאור: בעיית פרטיות טופלה על ידי העברת נתונים רגישים למיקום מוגן.

CVE-2024-40838: ‏Brian McNulty‏, Cristian Dinca מבית הספר התיכון הלאומי Tudor Vianu למדעי המחשב ברומניה, Vaibhav Prajapati

NSColor

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2024-44186: חוקר אנונימי

OpenSSH

השפעה: מספר בעיות ב-OpenSSH

CVE-2024-39894

PackageKit

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2024-44178: ‏Mickey Jin‏ (‎@patch1t)

Printing

השפעה: מסמך לא מוצפן עלול להיכתב לקובץ זמני בעת שימוש בתצוגה מקדימה להדפסה

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים.

CVE-2024-40826: חוקר אנונימי

Quick Look

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-44149: ‏Wojciech Regula מ-SecuRing‏ (wojciechregula.blog), ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji

הרשומה עודכנה ב-28 באוקטובר 2024

Safari

השפעה: ביקור באתר זדוני עלול להוביל לזיוף זהות בממשק המשתמש

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-40797: ‏Rifa'i Rejal Maynando

Safari

השפעה: תוכן אינטרנט בעל מבנה זדוני עלול להפר את מדיניות השימוש ב'ארגז חול' של iframe

תיאור: בעיה בטיפול בסכמת URL מותאמת אישית טופלה באמצעות אימות קלט משופר.

CVE-2024-44155: ‏Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt.‎ Ltd, פונה (הודו)

הרשומה נוספה ב-28 באוקטובר 2024

Sandbox

השפעה: יישום זדוני עלול להצליח להדליף מידע רגיש אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44125: ‏Zhongquan Li‏ (‎@Guluisacat)

Sandbox

השפעה: יישום זדוני עלול להצליח לגשת למידע פרטי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44163: ‏Zhongquan Li‏ (‎@Guluisacat)

Sandbox

השפעה: יישום עלול להצליח לגשת לספריית התמונות של משתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-44203: ‏Yiğit Can YILMAZ‏ (‎@yilmazcanyigit), ‏Wojciech Regula מ-SecuRing‏ (wojciechregula.blog), ‏Kirin‏ (‎@Pwnrin) מ-NorthSea

הרשומה נוספה ב-28 באוקטובר 2024

SceneKit

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.

CVE-2024-44144: ‏냥냥

הרשומה נוספה ב-28 באוקטובר 2024

Screen Capture

השפעה: תוקף בעל גישה פיזית עשוי להצליח לשתף פריטים ממסך הנעילה

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44137: ‏Halle Winkler‏, Politepix @hallewinkler

הרשומה נוספה ב-28 באוקטובר 2024

Screen Capture

השפעה: תוקף עלול להצליח להציג תוכן מוגבל ממסך הנעילה

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44174: ‏Vivek Dhar

הרשומה נוספה ב-28 באוקטובר 2024

Security

השפעה: יישום זדוני עם הרשאות בסיס עלול להצליח לגשת אל קלט מהמקלדת ואל פרטי מיקום ללא הסכמת המשתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-44123: ‏Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

הרשומה נוספה ב-28 באוקטובר 2024

Security Initialization

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-40801: ‏Zhongquan Li‏ (‎@Guluisacat), ‏Pedro José Pereira Vieito‏ (‎@pvieito), חוקר אנונימי

Shortcuts

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-40837: ‏Kirin‏ (‎@Pwnrin)

Shortcuts

השפעה: פעולה של קיצור עלולה להוציא כפלט נתוני משתמש ללא קבלת הסכמה

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-44158: ‏Kirin‏ (‎@Pwnrin)

Shortcuts

השפעה: יישום עלול להצליח לצפות בנתונים המוצגים למשתמש באמצעות 'קיצורים'

תיאור: בעיית פרטיות טופלה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2024-40844: ‏Kirin‏ (‎@Pwnrin) ו-luckyu‏ (‎@uuulucky) מ-NorthSea

Sidecar

השפעה: תוקף בעל גישה פיזית למכשיר macOS שבו מופעל Sidecar עלול להצליח לעקוף את נעילת המסך

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44145: ‏Om Kothawade‏, Omar A. Alanis מ-UNTHSC College of Pharmacy

הרשומה נוספה ב-28 באוקטובר 2024

Siri

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית פרטיות טופלה על ידי העברת נתונים רגישים למיקום מאובטח יותר.

CVE-2024-44170: ‏K宝‏, LFY‏ (‎@secsys), ‏Smi1e‏, ‏yulige‏, ‏Cristian Dinca‏ (icmd.tech), ‏Rodolphe BRUNETTI‏ (‎@eisw0lf)

sudo

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-40860: ‏Arsenii Kostromin‏ (0x3c3e)

System Settings

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-44152: ‏Kirin‏ (‎@Pwnrin)

CVE-2024-44166: ‏Kirin‏ (‎@Pwnrin) ו-LFY‏ (‎@secsys) מ-Fudan University

System Settings

השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2024-44190: ‏Rodolphe BRUNETTI‏ (‎@eisw0lf)

TCC

השפעה: במכשירי MDM מנוהלים, יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2024-44133: ‏Jonathan Bar Or‏ (‎@yo_yo_yo_jbo) מ-Microsoft

Transparency

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-44184: ‏Bohdan Stasiuk‏ (‎@Bohdan_Stasiuk)

TV App

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-40859: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji

הרשומה עודכנה ב-28 באוקטובר 2024

Vim

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

CVE-2024-41957

WebKit

השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla‏: 268724

CVE-2024-40857‏: Ron Masas

WebKit

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: הבעיה טופלה באמצעות ממשק משתמש משופר.

WebKit Bugzilla‏: 279451

CVE-2024-40866‏: Hafiizh ו-YoKo Kho (@yokoacc) מ-HakTrak

WebKit

השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים

תיאור: בעיה של מקורות מרובים הייתה קיימת באלמנטים מסוג 'iframe'. הבעיה טופלה באמצעות מעקב משופר אחרי מקורות אבטחה.

WebKit Bugzilla‏: 279452

CVE-2024-44187‏: Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt.‎ Ltd, פונה (הודו)

Wi-Fi

השפעה: משתמש ללא הרשאות עלול להצליח לשנות הגדרות רשת מוגבלות

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-40770: ‏Yiğit Can YILMAZ‏ (‎@yilmazcanyigit)

Wi-Fi

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-23237: ‏Charly Suchanek

Wi-Fi

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-44134

Wi-Fi

השפעה: תוקף עלול להצליח לגרום למכשיר להתנתק מרשת מאובטחת

תיאור: בעיית תקינות טופלה באמצעות Beacon Protection.

CVE-2024-40856: ‏Domien Schepers

WindowServer

השפעה: הייתה בעיה לוגית שבה תהליך עלול להצליח ללכוד תוכן מסך ללא הסכמת המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44189: ‏Tim Clem

WindowServer

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44208: חוקר אנונימי

הרשומה נוספה ב-28 באוקטובר 2024

XProtect

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה טופלה באמצעות אימות משופר של משתני סביבה.

CVE-2024-40842: ‏Gergely Kalman‏ (‎@gergely_kalman)

XProtect

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-40843: קו מ. נאקגוואה (‎@tsunek0h)

תודות נוספות

Admin Framework

אנחנו מבקשים להודות ל-Csaba Fitzl‏ (@theevilbit) מ-Kandji על הסיוע.

הרשומה עודכנה ב-28 באוקטובר 2024

AirPort

אנחנו מבקשים להודות ל-David Dudok de Wit על הסיוע.

הרשומה עודכנה ב-28 באוקטובר 2024

APFS

אנחנו מבקשים להודות ל-Georgi Valkov מ-httpstorm.com על הסיוע.

App Store

אנחנו מבקשים להודות ל-Csaba Fitzl‏ (@theevilbit) מ-Kandji על הסיוע.

הרשומה עודכנה ב-28 באוקטובר 2024

AppKit

אנחנו מבקשים להודות ל-‎@08Tc3wBB מ-Jamf על הסיוע.

Apple Neural Engine

אנחנו מבקשים להודות ל-Jiaxun Zhu‏ (@svnswords) ול-Minghao Lin‏ (@Y1nKoc) על הסיוע.

Automator

אנחנו מבקשים להודות ל-Koh M. Nakagawa‏ (@tsunek0h) על הסיוע.

Core Bluetooth

אנחנו מבקשים להודות ל-Nicholas C.‎ מ-Onymos Inc.‎‏ (onymos.com) על הסיוע.

Core Services

אנחנו מבקשים להודות ל-Cristian Dinca מבית הספר התיכון הלאומי Tudor Vianu למדעי המחשב ברומניה, ל-Kirin‏ (‎@Pwnrin), ל-7feilee‏, ל-Snoolie Keffaber‏ (‎@0xilis), ל-Tal Lossos‏ ול-Zhongquan Li‏ (‎@Guluisacat) על הסיוע.

CUPS

אנחנו מבקשים להודות ל-moein abas על הסיוע.

הרשומה נוספה ב-28 באוקטובר 2024

Disk Utility

אנחנו מבקשים להודות ל-Csaba Fitzl‏ (@theevilbit) מ-Kandji על הסיוע.

dyld

אנחנו מבקשים להודות ל-Pietro Francesco Tirenna, ל-Davide Silvetti, ל-Abdel Adim Oisfi מ-Shielder‏ (shielder.com) על הסיוע.

הרשומה נוספה ב-28 באוקטובר 2024

FileProvider

אנחנו מבקשים להודות ל-Kirin‏ (‎@Pwnrin) על הסיוע.

Foundation

אנחנו מבקשים להודות ל-Ostorlab על הסיוע.

Kernel

אנחנו מבקשים להודות ל-Braxton Anderson, ל-Fakhri Zulkifli ‏(@d0lph1n98) מ-PixiePoint Security על הסיוע.

libxpc

אנחנו מבקשים להודות ל-Rasmus Sten ול-F-Secure‏ (Mastodon: @pajp@blog.dll.nu) על הסיוע.

LLVM

אנחנו מבקשים להודות ל-Victor Duta מ-Universiteit Amsterdam, ל-Fabio Pagani מאוניברסיטת קליפורניה, סנטה ברברה, ל-Cristiano Giuffrida מ-Universiteit Amsterdam, ל-Marius Muench ול-Fabian Freyer על הסיוע.

Maps

אנחנו מבקשים להודות ל-Kirin‏ (‎@Pwnrin) על הסיוע.

Music

אנחנו מבקשים להודות ל-Khiem Tran מ-databaselog.com/khiemtran, ל-K宝 ו-LFY@secsys מ-Fudan University, ל-Yiğit Can YILMAZ ‏(@yilmazcanyigit) על הסיוע.

Notification Center

אנחנו מבקשים להודות ל-Kirin‏ (‎@Pwnrin) ול-LFYSec על הסיוע.

הרשומה נוספה ב-28 באוקטובר 2024

Notifications

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

PackageKit

אנחנו מבקשים להודות ל-Csaba Fitzl‏ (‎@theevilbit) מ-Kandji, ל-Mickey Jin‏ (‎@patch1t) ול-Zhongquan Li‏ (‎@Guluisacat) על הסיוע.

הרשומה עודכנה ב-28 באוקטובר 2024

Passwords

אנחנו מבקשים להודות ל-Richard Hyunho Im‏ (@r1cheeta) על הסיוע.

Photos

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India, ל-Harsh Tyagi ול-Leandro Chaves על הסיוע.

Podcasts

ברצוננו להודות לייגיט קאן יילמז (Yiğit Can YILMAZ)‏ (‎@yilmazcanyigit) על העזרה.

Quick Look

אנחנו מבקשים להודות ל-Zhipeng Huo‏ (@R3dF09) מ-Tencent Security Xuanwu Lab‏ (xlab.tencent.com) על הסיוע.

Safari

אנו מבקשים להודות ל-Hafiizh ול-YoKo Kho‏ (@yokoacc) מ-HakTrak, ל-Junsung Lee ול-Shaheen Fazim על הסיוע.

Sandbox

אנחנו מבקשים להודות ל-Cristian Dinca מבית הספר התיכון הלאומי Tudor Vianu למדעי המחשב ברומניה על הסיוע.

הרשומה עודכנה ב-28 באוקטובר 2024

Screen Capture

אנחנו מבקשים להודות ל-Joshua Jewett‏ (@JoshJewett33), ל-Yiğit Can YILMAZ‏ (@yilmazcanyigit) ולחוקר אנונימי על הסיוע.

Shortcuts

אנחנו מבקשים להודות ל-Cristian Dinca מבית הספר התיכון הלאומי Tudor Vianu למדעי המחשב ברומניה, ל-Jacob Braun ולחוקר אנונימי על הסיוע.

Siri

אנחנו מבקשים להודות ל-Abhay Kailasia‏ (‎@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal India, ל-Rohan Paudel ולחוקר אנונימי על הסיוע.

הרשומה עודכנה ב-28 באוקטובר 2024

SystemMigration

אנחנו מבקשים להודות ל-Jamey Wicklund, ל-Kevin Jansen ולחוקר אנונימי על הסיוע.

TCC

אנחנו מבקשים להודות ל-Noah Gregory‏ (wts.dev) ול-Vaibhav Prajapati על הסיוע.

UIKit

אנחנו מבקשים להודות ל-Andr.Ess על הסיוע.

Voice Memos

אנחנו מבקשים להודות ל-Lisa B על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Avi Lumelsky מ-Oligo Security, ל-Uri Katz מ-Oligo Security, ל-Braylon‏ (‎@softwarescool), ל-Eli Grey‏ (eligrey.com), ל-Johan Carlsson‏ (joaxcar), ל-Numan Türle‏ - Rıza Sabuncu על הסיוע.

הרשומה עודכנה ב-28 באוקטובר 2024

Wi-Fi

אנחנו מבקשים להודות ל-Antonio Zekic‏ (‎@antoniozekic), ל-ant4g0nist ול-Tim Michaud‏ (‎@TimGMichaud) מ-Moveworks.ai על הסיוע.

WindowServer

אנחנו מבקשים להודות ל-Felix Kratz על הסיוע.

הרשומה עודכנה ב-28 באוקטובר 2024

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 04 בנובמבר 2024