Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Sonoma 14.4
Objavljeno 7. ožujka 2024.
Accessibility
Dostupno za: macOS Sonoma
Učinak: zlonamjerna aplikacija mogla bi imati uvid u korisničke podatke u unosima zapisnika koji se odnose na obavijesti o pristupačnosti
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-23291
Admin Framework
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-23276: Kirin (@Pwnrin)
Airport
Dostupno za: macOS Sonoma
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: prava i dozvole povezane s privatnošću dodijeljene ovoj aplikaciji možda će koristiti zlonamjerna aplikacija
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2024-23233: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem smanjenja verzije koji utječe na Mac računala s Intelovim čipom riješen je dodatnim ograničenjima potpisivanja koda.
CVE-2024-23269: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-23288: Wojciech Regula (SecuRing (wojciechregula.blog)) i Kirin (@Pwnrin)
Bluetooth
Dostupno za: macOS Sonoma
Učinak: napadač s mrežnim ovlastima mogao bi imitirati pritiskanje tipki i unositi znakove lažiranjem tipkovnice
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23277: Marc Newlin (SkySafe)
ColorSync
Dostupno za: macOS Sonoma
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-23247: m4yfly with TianGong Team of Legendsec at Qi'anxin Group
ColorSync
Dostupno za: macOS Sonoma
Učinak: obradom datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-23248: m4yfly u suradnji s timom TianGong tvrtke Legendsec (Qi'anxin Group)
CVE-2024-23249: m4yfly u suradnji s timom TianGong tvrtke Legendsec (Qi'anxin Group)
CoreBluetooth - LE
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti mikrofonima povezanim Bluetoothom bez dopuštenja korisnika
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2024-23250: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Dock
Dostupno za: macOS Sonoma
Učinak: aplikacija sa standardnog korisničkog računa mogla bi eskalirati privilegije nakon prijave administratorskog korisnika
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2024-23244: Csaba Fitzl (@theevilbit, OffSec)
ExtensionKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-23205
file
Dostupno za: macOS Sonoma
Učinak: obradom datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-48554
Image Capture
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti korisnikovom fotoalbumu
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2024-23253: Mickey Jin (@patch1t)
Image Processing
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-23270: anonimni istraživač
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-23257: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro)
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-23258: Zhenjiang Zhao (tim laboratorija Pangu, Qianxin)
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Intel Graphics Driver
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2024-23235
Kernel
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2024-23265: Xinru Chi (Pangu Lab)
Kernel
Dostupno za: macOS Sonoma
Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2024-23225
libxpc
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23278: anonimni istraživač
libxpc
Dostupno za: macOS Sonoma
Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-0258: ali yabuz
MediaRemote
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-23279: anonimni istraživač
Messages
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.
CVE-2024-23287: Kirin (@Pwnrin)
Metal
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative (Trend Micro)
Music
Dostupno za: macOS Sonoma
Učinak: aplikacija može stvarati simboličke veze na zaštićena područja diska
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2024-23285: @08Tc3wBB (Jamf)
Notes
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-23283
OpenSSH
Dostupno za: macOS Sonoma
Učinak: veći broj problema u softveru OpenSSH
Opis: veći broj problema riješen je ažuriranjem na verziju OpenSSH 9.6.
CVE-2023-48795
CVE-2023-51384
CVE-2023-51385
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42816: Mickey Jin (@patch1t)
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-23268: Mickey Jin (@patch1t), Pedro Tôrres (@t0rr3sp3dr0)
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42853: Mickey Jin (@patch1t)
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2024-23275: Mickey Jin (@patch1t)
Photos
Dostupno za: macOS Sonoma
Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2024-23255: Harsh Tyagi
QuartzCore
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjernog unosa mogla bi dovesti do izvršavanja koda
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-23294: Wojciech Regula (SecuRing, wojciechregula.blog)
RTKit
Dostupno za: macOS Sonoma
Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2024-23296
Safari
Dostupno za: macOS Sonoma
Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23259: Lyra Rebane (rebane2001)
Safari Private Browsing
Dostupno za: macOS Sonoma
Učinak: karticama Privatno pretraživanje može se pristupati bez provjere identiteta
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-23273: Matej Rabzelj
Sandbox
Dostupno za: macOS Sonoma
Učinak: određena aplikacija mogla bi uređivati varijable NVRAM
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2024-23238
Sandbox
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2024-23239: Mickey Jin (@patch1t)
Sandbox
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2024-23290: Wojciech Reguła (SecuRing) (wojciechregula.blog)
Screen Capture
Dostupno za: macOS Sonoma
Učinak: neke bi aplikacije mogle snimiti zaslon korisnika
Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.
CVE-2024-23232: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-23231: Kirin (@Pwnrin) i luckyu (@uuulucky)
SharedFileList
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: ovaj je problem riješen poboljšanim rukovanjem datotekom.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Dostupno za: macOS Sonoma
Učinak: prečaci treće strane mogu koristiti naslijeđenu radnju programa Automator za slanje događaja aplikacijama bez pristanka korisnika
Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.
CVE-2024-23245: anonimni istraživač
Shortcuts
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2024-23292: K宝 i LFY@secsys (sveučilište Fudan)
Siri
Dostupno za: macOS Sonoma
Učinak: korisnik s fizičkim pristupom uređaju mogao bi upotrebljavati Siri za dobivanje privatnih informacija o kalendaru
Opis: problem sa zaključanim zaslonom riješen je poboljšanim upravljanjem stanjem.
CVE-2024-23289: Lewis Hardy
Siri
Dostupno za: macOS Sonoma
Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-23293: Bistrit Dahal
Spotlight
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-23241
Storage Services
Dostupno za: macOS Sonoma
Učinak: korisnik bi mogao ostvariti pristup zaštićenim dijelovima datotečnog sustava
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-23272: Mickey Jin (@patch1t)
Synapse
Dostupno za: macOS Sonoma
Učinak: određena aplikacija mogla bi prikazati podatke iz aplikacije Mail
Opis: problem s privatnošću riješen je nezapisivanjem sadržaja tekstualnih polja.
CVE-2024-23242
System Settings
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-23281: Joshua Jewett (@JoshJewett33)
TV App
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen uklanjanjem dodatnih prava.
CVE-2024-23260: Joshua Jewett (@JoshJewett33)
UIKit
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-23246: Deutsche Telekom Security GmbH pod sponzorstvom instituta Bundesamt für Sicherheit in der Informationstechnik
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Dostupno za: macOS Sonoma
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore audiopodataka
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Dostupno za: macOS Sonoma
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti.
WebKit Bugzilla: 266703
CVE-2024-23280: anonimni istraživač
WebKit
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber i Marco Squarcina
Dodatna zahvala
AppKit
Na pomoći zahvaljujemo Stephanu Casasu.
CoreAnimation
Na pomoći zahvaljujemo Junsungu Leeju.
CoreMotion
Na pomoći zahvaljujemo Ericu Dorphyju (Twin Cities App Dev LLC).
Endpoint Security
Na pomoći zahvaljujemo Matthewu Whiteu.
Find My
Na pomoći zahvaljujemo Meng Zhangu (鲸落) (NorthSea).
Kernel
Na pomoći zahvaljujemoTareku Joumaau (@tjkr0wn) i korisniku 이준성(Junsung Lee).
libarchive
Na pomoći zahvaljujemo korisniku koocola.
libxml2
Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.
libxpc
Na pomoći zahvaljujemo Rasmusu Stenu, F-Secure (Mastodon: @pajp@blog.dll.nu) i anonimnom istraživaču.
Model I/O
Na pomoći zahvaljujemo Junsungu Leeju.
Photos
Zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) na pomoći.
Power Management
Na pomoći zahvaljujemo Panu ZhenPengu (@Peterpan0927) iz tvrtke STAR Labs SG Pte. Ltd.
Safari
Na pomoći zahvaljujemo Abhinavu Saraswatu, Matthewu C i korisniku 이동하 (Lee Dong Ha, ZeroPointer Lab).
SharedFileList
Na pomoći zahvaljujemo Philu Schneideru (Canva).
Siri
Na pomoći zahvaljujemo Bistritu Dahalu.
Storage Driver
Na pomoći zahvaljujemo Liangu Weiju (PixiePoint Security).
SystemMigration
Na pomoći zahvaljujemo Eugeneu Gershniku.
TCC
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
WebKit
Na pomoći zahvaljujemo Nanu Wangu (@eternalsakura13) s instituta 360 Vulnerability Research Institute te Valentinu Dalla Valleu, Pedru Bernardu, Marcu Squarcini i Lorenzu Veroneseu (TU Wien).