Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Sonoma 14.3
Objavljeno 22. siječnja 2024.
Apple Neural Engine
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-23212: Ye Zhang (Baidu Security)
CoreCrypto
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao dešifrirati stare šifrirane tekstove RSA PKCS#1 v1.5, a da za to ne mora imati privatni ključ
Opis: problem s vremenskim odrednicama sporednog kanala riješen je uvođenjem poboljšanja u konstantnom izračunavanju vremena za kriptografske funkcije.
CVE-2024-23218: Clemens Lang
Finder
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23224: Brian McNulty
Kernel
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-23208: fmyy(@binary_fmyy) i lime iz tima TIANGONG Team of Legendsec (QI-ANXIN Group)
libxpc
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2024-23201: Koh M. Nakagawa (FFRI Security, Inc.) i anonimni istraživač
Unos dodan 7. ožujka 2024.
LLVM
Dostupno za: macOS Sonoma
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-23209
Mail Search
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2024-23207: Noah Roskin-Frazee, Prof. J. (ZeroClicks.ai Lab) i Ian de Marcellus
NSSpellChecker
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s privatnosti riješen je poboljšanim rukovanjem datotekama.
CVE-2024-23223: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Power Manager
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla oštetiti koprocesorsku memoriju
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.)
Unos dodan 24. travnja 2024.
Safari
Dostupno za: macOS Sonoma
Učinak: privatna pretraga korisnika mogla bi se vidjeti u Postavkama
Opis: problem s privatnosti riješen je poboljšanim rukovanjem korisničkim postavkama.
CVE-2024-23211: Mark Bowers
Shortcuts
Dostupno za: macOS Sonoma
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2024-23203: anonimni istraživač
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.
CVE-2024-23217: Kirin (@Pwnrin)
TCC
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim rukovanjem privremenim datotekama.
CVE-2024-23215: Zhongquan Li (@Guluisacat)
Time Zone
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla vidjeti korisnički broj telefona u zapisnicima sustava
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2024-23210: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
WebKit
Dostupno za: macOS Sonoma
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
WebKit Bugzilla: 262699
CVE-2024-23206: anonimni istraživač
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 266619
CVE-2024-23213: Wangtaiyu (Zhongfu info)
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 265129
CVE-2024-23214: Nan Wang (@eternalsakura13) (360 Vulnerability Research Institute)
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
WebKit Bugzilla: 267134
CVE-2024-23222
WebKit
Dostupno za: macOS Sonoma
Učinak: zlonamjerno web-mjesto može izazvati neočekivano ponašanje u vezi s resursima iz više izvora
Opis: logički problem riješen je poboljšanim provjerama.
WebKit Bugzilla: 265812
CVE-2024-23271: James Lee (@Windowsrcer)
Unos je dodan 24. travnja 2024.
Dodatna zahvala
NetworkExtension
Zahvaljujemo Akshayu Nagpalu na pomoći.
Unos je dodan 24. travnja 2024.