Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Sonoma 14.5
Objavljeno 13. svibnja 2024.
AppleAVD
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Unos je ažuriran 15. svibnja 2024.
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: lokalni napadač mogao bi dobiti pristup stavkama privjeska ključeva
Opis: problem vraćanja na stariju verziju riješen je dodatnim ograničenjima potpisivanja koda.
CVE-2024-27837: Mickey Jin (@patch1t) i ajajfxhj
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao pristupiti korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-27816: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem smanjenja verzije koji utječe na Mac računala s Intelovim čipom riješen je dodatnim ograničenjima potpisivanja koda.
CVE-2024-27825: Kirin (@Pwnrin)
AppleVA
Dostupno za: macOS Sonoma
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27829: Amir Bazine i Karsten König koji rade na usluzi Counter Adversary Operations tvrtke CrowdStrike te Pwn2car u suradnji s inicijativom Zero Day (Trend Micro)
AVEVideoEncoder
Dostupno za: macOS Sonoma
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27841: anonimni istraživač
CFNetwork
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: problem s točnošću riješen je poboljšanim provjerama.
CVE-2024-23236: Ron Masas (Imperva)
Core Data
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen boljom provjerom varijabli u okruženju.
CVE-2024-27805: Kirin (@Pwnrin) i 小来来 (@Smi1eSEC)
Unos je dodan 10. lipnja 2024.
CoreMedia
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Unos je dodan 10. lipnja 2024.
CoreMedia
Dostupno za: macOS Sonoma
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27831: Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations)
Unos je dodan 10. lipnja 2024.
Disk Images
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27832: anonimni istraživač
Unos je dodan 10. lipnja 2024.
Finder
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-27827: anonimni istraživač
Foundation
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27801: CertiK SkyFall Team
Unos je dodan 10. lipnja 2024.
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27836: Junsung Lee u suradnji s projektom Zero Day Initiative (Trend Micro)
Unos je dodan 10. lipnja 2024.
IOHIDFamily
Dostupno za: macOS Sonoma
Učinak: aplikacija bez privilegija mogla bi bilježiti upotrebu tipki iz drugih aplikacija, uključujući one koje za koje se upotrebljava siguran način unosa
Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.
CVE-2024-27799: anonimni istraživač
Unos je dodan 10. lipnja 2024.
Kernel
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27818: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Kernel
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27815: anonimni istraživač i Joseph Ravichandran (@0xjprx) (MIT CSAIL)
Unos je dodan 10. lipnja 2024.
libiconv
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27811: Nick Wellnhofer
Unos je dodan 10. lipnja 2024.
Libsystem
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem s dopuštenjima riješen je uklanjanjem koda sa slabim točkama i dodavanjem dodatnih provjera.
CVE-2023-42893: anonimni istraživač
Dostupno za: macOS Sonoma
Učinak: napadač s fizičkim pristupom mogao bi otkriti podatke za pristup računu za Mail
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2024-23251: Gil Pedersen
Unos je dodan 10. lipnja 2024.
Dostupno za: macOS Sonoma
Učinak: zlonamjerni e-mail može pokretati FaceTime pozive bez odobrenja korisnika
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Unos je dodan 10. lipnja 2024.
Maps
Dostupno za: macOS Sonoma
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-27810: LFY@secsys (Sveučilište Fudan)
Messages
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-27800: Daniel Zajork i Joshua Zajork
Unos je dodan 10. lipnja 2024.
Metal
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) u suradnji s inicijativom Zero Day Initiative (Trend Micro)
Unos je dodan 10. lipnja 2024.
Metal
Dostupno za: macOS Sonoma
Učinak: udaljeni napadači mogo bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2024-27857: Michael DePlante (@izobashi), inicijativa Zero Day Initiative (Trend Micro)
Unos je dodan 10. lipnja 2024.
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2024-27822: Scott Johnson, Mykola Grymalyuk (RIPEDA Consulting), Jordy Witteman i Carlos Polop
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.
CVE-2024-27885: Mickey Jin (@patch1t)
Unos je dodan 10. lipnja 2024.
PrintCenter
Dostupno za: macOS Sonoma
Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27813: anonimni istraživač
PrintCenter
Dostupno za: macOS Sonoma
Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27813: anonimni istraživač
Unos je dodan 10. lipnja 2024.
RemoteViewServices
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao pristupiti korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-27816: Mickey Jin (@patch1t)
RemoteViewServices
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao pristupiti korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-27816: Mickey Jin (@patch1t)
Unos je dodan 10. lipnja 2024.
Safari
Dostupno za: macOS Sonoma
Učinak: dijaloški okvir s dopuštenjima za web-mjesto može se neprekidno prikazivati nakon odlaska sa stranice
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27844: Narendra Bhati (Suma Soft Pvt.) Ltd in Pune (Indija), Shaheen Fazim
Unos je dodan 10. lipnja 2024.
SharedFileList
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-27843: Mickey Jin (@patch1t)
Shortcuts
Dostupno za: macOS Sonoma
Učinak: prečac bi mogao pružati osjetljive korisničke podatke bez pristanka
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-27821: Kirin (@Pwnrin), zbleet i Csaba Fitzl (@theevilbit) (Kandji)
Shortcuts
Dostupno za: macOS Sonoma
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27855: anonimni istraživač
Unos je dodan 10. lipnja 2024.
Spotlight
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanom sanacijom okruženja.
CVE-2024-27806
Unos je dodan 10. lipnja 2024.
StorageKit
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao povećati svoje ovlasti
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2024-27798: Yann GASCUEL (Alter Solutions)
StorageKit
Dostupno za: macOS Sonoma
Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem je riješen boljom provjerom dopuštenja.
CVE-2024-27848: Csaba Fitzl (@theevilbit) (Kandji)
Unos je dodan 10. lipnja 2024.
Sync Services
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: taj je problem riješen poboljšanim provjerama
CVE-2024-27847: Mickey Jin (@patch1t)
udf
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27842: tim CertiK SkyFall
Voice Control
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao povećati svoje ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27796: ajajfxhj
WebKit
Dostupno za: macOS Sonoma
Učinak: napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: macOS Sonoma
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: problem je riješen dodavanje dodatne logike.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos (Mozilla)
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard (CISPA Helmholtz Center for Information Security)
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: macOS Sonoma
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: ovaj problem riješen je poboljšavanjem algoritma za uvod šuma.
WebKit Bugzilla: 270767
CVE-2024-27850: anonimni istraživač
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) (360 Vulnerability Research Institute)
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: macOS Sonoma
Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 10. lipnja 2024.
WebKit Canvas
Dostupno za: macOS Sonoma
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: problem je riješen poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) (Crawless) i @abrahamjuliot
Unos je dodan 10. lipnja 2024.
WebKit Web Inspector
Dostupno za: macOS Sonoma
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Unos je dodan 10. lipnja 2024.
Dodatna zahvala
App Store
Na pomoći zahvaljujemo anonimnom istraživaču.
AppleMobileFileIntegrity
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Unos je dodan 10. lipnja 2024.
CoreHAP
Željeli bismo zahvaliti Adrianu Cableu na pomoći.
Disk Images
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Unos je dodan 10. lipnja 2024.
HearingCore
Na pomoći zahvaljujemo anonimnom istraživaču.
ImageIO
Na pomoći zahvaljujemo anonimnom istraživaču.
Unos je dodan 10. lipnja 2024.
Managed Configuration
Željeli bismo zahvaliti 遥遥领先 (@晴天组织) na pomoći.
Music
Na pomoći zahvaljujemo anonimnom istraživaču.
Safari Downloads
Željeli bismo zahvaliti Arseniiju Kostrominu (0x3c3e) na pomoći.
Transparency
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Unos je dodan 10. lipnja 2024.