A macOS Sequoia 15 biztonsági változásjegyzéke
Ez a dokumentum a macOS Sequoia 15 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Sequoia 15
Kiadási dátum: 2024. szeptember 16.
Accounts
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói információkat kiszivárogtatni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-44129
Accounts
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.
CVE-2024-44153: Mickey Jin (@patch1t)
Accounts
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)
Airport
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A rosszindulatú alkalmazások módosíthatták a hálózati beállításokat.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)
Bejegyzés hozzáadva: 2024. október 28.
APFS
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A gyökérszintű jogosultságokkal rendelkező rosszindulatú alkalmazás módosíthatja a rendszerfájlok tartalmát
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)
APNs
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások hozzá tudtak férni személyes információkhoz.
Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.
CVE-2024-44130
App Intents
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások bizonyos esetekben hozzá tudtak férni a naplózott érzékeny adatokhoz, amikor egy parancs nem tudott elindítani egy másik alkalmazást.
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2024-44182: Kirin (@Pwnrin)
AppleGraphicsControl
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.
CVE-2024-44154: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
AppleGraphicsControl
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-40845: Pwn2car, a Trend Micro Zero Day Initiative közreműködőjeként
CVE-2024-40846: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
AppleMobileFileIntegrity
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2024-44164: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-40837: Kirin (@Pwnrin)
AppleMobileFileIntegrity
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: További kódaláírási korlátozásokkal elhárítottunk a hibát.
CVE-2024-40847: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A támadók bizalmas információkat tudtak olvasni.
Leírás: További kódaláírási korlátozásokkal elhárítottunk egy alacsonyabb szintre váltással kapcsolatos hibát.
CVE-2024-40848: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: További korlátozásokkal elhárítottunk egy könyvtárinjektálással kapcsolatos hibát.
CVE-2024-44168: Claudio Bozzato és Francesco Benvenuto (Cisco Talos)
AppleVA
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-27860: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
CVE-2024-27861: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
AppleVA
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2024-40841: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
AppSandbox
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A kamerabővítmények bizonyos esetekben hozzá tudtak férni az internethez.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-27795: Halle Winkler, Politepix, @hallewinkler
AppSandbox
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások védett fájlokhoz férhetnek hozzá az App Sandbox konténerben.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-44135: Mickey Jin (@patch1t)
ArchiveService
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2024-44132: Mickey Jin (@patch1t)
ARKit
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor sérült a halommemória
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-44126: Holger Fuhrmannek
Bejegyzés hozzáadva: 2024. október 28.
Automator
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az Automator gyorsműveleti munkafolyamata bizonyos esetekben meg tudta kerülni a Gatekeepert.
Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.
CVE-2024-44128: Anton Boegler
bless
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-44151: Mickey Jin (@patch1t)
Compression
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az ártó szándékkal létrehozott archívumok kicsomagolása tetszőleges fájlok írását tehette lehetővé támadók számára.
Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Contacts
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a kontaktokhoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2024-44172: Kirin (@Pwnrin)
Bejegyzés frissítve: 2025. január 27.
Control Center
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások bizonyos esetekben nem jelezték, hogy felvételt készítenek a képernyőről.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-27869: anonim kutató
Control Center
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A mikrofon- és kamera-hozzáférésre vonatkozó adatvédelmi jelzők bizonyos esetekben tévesen jeleztek.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)
copyfile
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.
CVE-2024-44146: anonim kutató
Core Data
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)
Bejegyzés hozzáadva: 2024. október 28.
CUPS
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2023-4504
DiskArbitration
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az elkülönített alkalmazások képesek lehetnek hozzáférni bizalmas felhasználói adatokhoz
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-40855: Fitzl Csaba (@theevilbit), Kandji
Bejegyzés hozzáadva: 2024. október 28.
Disk Images
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: A fájlattribútumok hatékonyabb hitelesítésével elhárítottuk a problémát.
CVE-2024-44148: anonim kutató
Dock
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.
CVE-2024-44177: egy névtelen kutató
FileProvider
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54469: Fitzl Csaba (@theevilbit, Kandji)
Bejegyzés hozzáadva: 2025. március 3.
FileProvider
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2024-44131: @08Tc3wBB (Jamf)
Game Center
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy fájleléréssel kapcsolatos hibát.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
Image Capture
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások képesek voltak hozzáférni az eltávolítható kötetekhez felhasználói engedély nélkül
Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.
CVE-2024-54463: Yiğit Can YILMAZ (@yilmazcanyigit)
Bejegyzés hozzáadva: 2025. március 3.
Image Capture
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a felhasználó fotókönyvtárához.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-40831: Mickey Jin (@patch1t)
ImageIO
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2024-27880: Junsung Lee
ImageIO
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2024-44176: dw0r (ZeroPointer Lab) a Trend Micro Zero Day Initiative kezdeményezés keretében, valamint egy anonim kutató
Installer
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-40861: Mickey Jin (@patch1t)
Intel Graphics Driver
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott textúrák feldolgozása váratlan alkalmazásleállást okozott.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2024-44160: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
Intel Graphics Driver
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott textúrák feldolgozása váratlan alkalmazásleállást okozott.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2024-44161: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
IOSurfaceAccelerator
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-44169: Antonio Zekić
Kernel
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Bizonyos esetekben a hálózati forgalom kiszivároghatott a VPN-alagúton kívülre.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-44165: Andrew Lytvynov
Kernel
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2024-44175: Fitzl Csaba (@theevilbit, Kandji)
Bejegyzés hozzáadva: 2024. október 28.
Kernel
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a Bluetooth-hoz.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) és Mathy Vanhoef
LaunchServices
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy rosszindulatú alkalmazások alkalmazáskezelési engedély nélkül tudtak módosítani más alkalmazásokat.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)
Bejegyzés hozzáadva: 2025. március 3.
LaunchServices
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-44122: anonim kutató
Bejegyzés hozzáadva: 2024. október 28.
libxml2
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.
CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)
Mail Accounts
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)
Maps
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2024-54473: Kirin (@Pwnrin)
Bejegyzés hozzáadva: 2025. március 3.
Maps
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével hárítottunk el egy problémát.
CVE-2024-44181: Kirin (@Pwnrin) és LFY (@secsys), Fudan University
mDNSResponder
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.
CVE-2024-44183: Olivier Levon
Model I/O
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egy rosszindulatú célból létrehozott kép feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2023-5841
Music
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-27858: Meng Zhang (鲸落, NorthSea), Fitzl Csaba (@theevilbit, Kandji)
Bejegyzés frissítve: 2024. október 28.
Notes
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak tetszőleges fájlokat felülírni.
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2024-44167: ajajfxhj
Notification Center
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A rosszindulatú alkalmazások bizonyos esetekben hozzá tudtak férni az értesítésekhez a felhasználó készülékéről.
Leírás: Elhárítottunk egy adatvédelemmel kapcsolatos problémát azáltal, hogy védett helyre helyeztük át a bizalmas adatokat.
CVE-2024-40838: Brian McNulty, Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia), Vaibhav Prajapati
NSColor
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.
CVE-2024-44186: anonim kutató
OpenSSH
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az OpenSSH több biztonsági rése.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-39894
PackageKit
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2024-44178: Mickey Jin (@patch1t)
Printing
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Nem titkosított dokumentum volt írható egy ideiglenes fájlba a nyomtatási előnézet használatakor.
Leírás: A fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2024-40826: anonim kutató
Quick Look
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-44149: Wojciech Regula (SecuRing, wojciechregula.blog), Fitzl Csaba (@theevilbit, Kandji)
Bejegyzés frissítve: 2024. október 28.
Safari
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-40797: Rifa'i Rejal Maynando
Safari
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak sértették az iframe-ek sandboxban való futtatására vonatkozó szabályzatot.
Leírás: Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy egyedi URL-sémakezelési hibát.
CVE-2024-44155: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)
Bejegyzés hozzáadva: 2024. október 28.
Sandbox
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-44125: Zhongquan Li (@Guluisacat)
Sandbox
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-44163: Zhongquan Li (@Guluisacat)
Sandbox
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a felhasználó fotókönyvtárához.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula (SecuRing, wojciechregula.blog), Kirin (@Pwnrin, NorthSea)
Bejegyzés hozzáadva: 2024. október 28.
SceneKit
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2024-44144: 냥냥
Bejegyzés hozzáadva: 2024. október 28.
Screen Capture
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A fizikai hozzáféréssel rendelkező támadók a zárolt képernyőről meg tudtak osztani tartalmakat.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-44137: Halle Winkler, Politepix @hallewinkler
Bejegyzés hozzáadva: 2024. október 28.
Screen Capture
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A támadók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-44174: Vivek Dhar a Border Security Force (Frontier Headquarter BSF Kashmir) segéd-felügyelőhelyetteseként (Assistant Sub-Inspector, RM)
Bejegyzés hozzáadva: 2024. október 28., frissítve: 2025. március 3.
Security
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A gyökérszintű engedélyekkel rendelkező rosszindulatú alkalmazások felhasználói beleegyezés nélkül is hozzáférhettek a billentyűzeten keresztüli szövegbevitelhez és a helyadatokhoz.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-44123: Wojciech Regula (SecuRing, wojciechregula.blog)
Bejegyzés hozzáadva: 2024. október 28.
Security Initialization
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), anonim kutató
Shortcuts
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-40837: Kirin (@Pwnrin)
Shortcuts
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Bizonyos esetekben a parancsok bizalmas adatokat jelenítettek meg a felhasználó hozzájárulása nélkül.
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2024-44158: Kirin (@Pwnrin)
Shortcuts
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egy alkalmazás bizonyos esetekben meg tudta figyelni a felhasználó számára a Parancsok által megjelenített adatokat.
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2024-40844: Kirin (@Pwnrin) és luckyu (@uuulucky, NorthSea)
Sidecar
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A macOS-eszközökhöz fizikai hozzáféréssel rendelkező támadók a Sidecar engedélyezett állapota esetén megkerülhették a zárolt képernyőt.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-44145: Om Kothawade, Omar A. Alanis (UNTHSC College of Pharmacy)
Bejegyzés hozzáadva: 2024. október 28.
Siri
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy a készülékhez fizikai hozzáféréssel rendelkező támadók a zárolt képernyőről be tudták olvasni a kontaktok telefonszámait.
Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.
CVE-2024-44179: Bistrit Dahal, Matej Moravec (@MacejkoMoravec)
Bejegyzés hozzáadva: 2025. március 3.
Siri
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: Elhárítottunk egy adatvédelemmel kapcsolatos problémát azáltal, hogy biztonságosabb helyre helyeztük át a bizalmas adatokat.
CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)
sudo
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-40860: Arsenii Kostromin (0x3c3e)
System Settings
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2024-44152: Kirin (@Pwnrin)
CVE-2024-44166: Kirin (@Pwnrin) és LFY (@secsys), Fudan University
System Settings
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)
TCC
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások megtévesztéssel rá tudták venni a felhasználót, hogy hozzáférést adjon a fotókönyvtárában található fotókhoz.
Leírás: A folyamaton kívüli nézetek kezelési módjának javításával elhárítottunk egy kattintáseltérítést lehetővé tevő problémát.
CVE-2024-54558: Ron Masas (BreakPoint.sh) és egy anonim kutató
Bejegyzés hozzáadva: 2025. március 3.
TCC
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az MDM által felügyelt készülékeken az alkalmazások bizonyos esetben meg tudtak kerülni bizonyos adatvédelmi beállításokat.
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft)
Transparency
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)
TV App
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-40859: Fitzl Csaba (@theevilbit, Kandji)
Bejegyzés frissítve: 2024. október 28.
Vim
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-41957
WebKit
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.
Leírás: Hatékonyabb állapotkezeléssel hárítottunk el egy sütikezelési problémát.
WebKit Bugzilla: 287874
CVE-2024-54467: Narendra Bhati (kiberbiztonsági menedzser, Suma Soft Pvt. Ltd., Púna, India)
Bejegyzés hozzáadva: 2025. március 3.
WebKit
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 268770
CVE-2024-44192: Tashita Software Security
Bejegyzés hozzáadva: 2025. március 3.
WebKit
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.
WebKit Bugzilla: 279451
CVE-2024-40866: Hafiizh és YoKo Kho (@yokoacc, HakTrak)
WebKit
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.
Leírás: Eltérő eredetű adatokat érintő probléma állt fenn az iframe-elemek esetén. A biztonsági eredetek hatékonyabb nyomon követésével hárítottuk el a hibát.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)
Wi-Fi
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-44227: Tim Michaud (@TimGMichaud, Moveworks.ai)
CVE-2024-54546: Antonio Zekic (@antoniozekic) és ant4g0nist
Bejegyzés hozzáadva: 2025. március 3.
Wi-Fi
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A jogosultsággal nem rendelkező felhasználók módosítani tudták a korlátozott hálózati beállításokat.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)
Wi-Fi
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-23237: Charly Suchanek
Wi-Fi
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2024-44134
Wi-Fi
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: A támadók bizonyos esetekben el tudták érni a készülék leválasztását a biztonságos hálózatról.
Leírás: A jeladó védelmével megoldottuk az integritással kapcsolatos problémát.
CVE-2024-40856: Preet Dsouza (Fleming College, Computer Security & Investigations Program), Domien Schepers
Bejegyzés frissítve: 2025. március 3.
WindowServer
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Logikai probléma állt fenn, amelynek hatására a folyamatok bizonyos esetekben a felhasználó hozzájárulása nélkül is rögzíthették a képernyő tartalmát.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-44189: Tim Clem
WindowServer
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-44208: anonim kutató
Bejegyzés hozzáadva: 2024. október 28.
XProtect
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A környezeti változók hatékonyabb validálásával oldottuk meg a problémát.
CVE-2024-40842: Kalman Gergely (@gergely_kalman)
XProtect
A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)
További köszönetnyilvánítás
Admin Framework
Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.
Bejegyzés frissítve: 2024. október 28.
Airport
Köszönjük David Dudok de Wit segítségét.
Bejegyzés frissítve: 2024. október 28.
APFS
Köszönjük Georgi Valkov (httpstorm.com) segítségét.
App Store
Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.
Bejegyzés frissítve: 2024. október 28.
AppKit
Köszönjük @08Tc3wBB (Jamf) segítségét.
Apple Neural Engine
Köszönjük Jiaxun Zhu (@svnswords) és Minghao Lin (@Y1nKoc) segítségét.
Automator
Köszönjük Koh M. Nakagawa (@tsunek0h) segítségét.
Core Bluetooth
Köszönjük Nicholas C. (Onymos Inc., onymos.com) segítségét.
Core Services
Köszönjük Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia), Kirin (@Pwnrin) és 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, valamint Zhongquan Li (@Guluisacat) segítségét.
CUPS
Köszönjük moein abas segítségét.
Bejegyzés hozzáadva: 2024. október 28.
Disk Utility
Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.
dyld
Köszönjük Pietro Francesco Tirenna, Davide Silvetti és Abdel Adim Oisfi (Shielder, shielder.com) segítségét.
Bejegyzés hozzáadva: 2024. október 28.
FileProvider
Köszönjük Kirin (@Pwnrin) segítségét.
Foundation
Köszönjük az Ostorlab segítségét.
ImageIO
Köszönjük Junsung Lee segítségét.
Bejegyzés hozzáadva: 2025. március 3.
Kernel
Köszönjük Braxton Anderson, Fakhri Zulkifli (@d0lph1n98, PixiePoint Security) segítségét.
libxpc
Köszönjük Rasmus Sten( F-Secure, Mastodon: @pajp@blog.dll.nu) segítségét.
LLVM
Köszönjük Victor Duta (Universiteit Amsterdam), Fabio Pagani (University of California, Santa Barbara), Cristiano Giuffrida (Universiteit Amsterdam), Marius Muench és Fabian Freyer segítségét.
Maps
Köszönjük Kirin (@Pwnrin) segítségét.
Music
Köszönjük Khiem Tran (databaselog.com/khiemtran), K宝 és LFY@secsys (Fudan University), valamint Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.
Notification Center
Köszönjük Kirin (@Pwnrin) és LFYSec segítségét.
Bejegyzés hozzáadva: 2024. október 28.
Notifications
Köszönjük egy anonim kutató segítségét.
PackageKit
Köszönjük Fitzl Csaba (@theevilbit, Kandji), Mickey Jin (@patch1t) és Zhongquan Li (@Guluisacat) segítségét.
Bejegyzés frissítve: 2024. október 28.
Passwords
Köszönjük Richard Hyunho Im (@r1cheeta) segítségét.
Photos
Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopál, India), Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar (Technocrat Institute of Technology, Bhopál), Shibin B Shaji, Vishnu Prasad P G, UST, Yusuf Kelany és Junior Vergara segítségét.
Bejegyzés frissítve: 2025. március 3.
Podcasts
Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.
Quick Look
Köszönjük Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com) segítségét.
Safari
Köszönjük Arthur Csatlós (Alef Union, alefunion.com), Hafiizh és YoKo Kho (@yokoacc, HakTrak), Junsung Lee, valamint Shaheen Fazim segítségét.
Bejegyzés frissítve: 2025. március 3.
Sandbox
Köszönjük Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia) segítségét.
Bejegyzés frissítve: 2024. október 28.
Screen Capture
Köszönjük Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) és egy anonim kutató segítségét.
SharePlay
Köszönjük egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2025. március 3.
Shortcuts
Köszönjük Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia), Jacob Braun és egy anonim kutató segítségét.
Siri
Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopál, India), Rohan Paudel és egy anonim kutató segítségét.
Bejegyzés frissítve: 2024. október 28.
SystemMigration
Köszönjük Jamey Wicklund, Kevin Jansen és egy anonim kutató segítségét.
System Settings
Köszönjük Koh M. Nakagawa (@tsunek0h) segítségét.
Bejegyzés hozzáadva: 2025. március 3.
TCC
Köszönjük Noah Gregory (wts.dev) és Vaibhav Prajapati segítségét.
Terminal
Köszönjük Koh M. Nakagawa (@tsunek0h) segítségét.
Bejegyzés hozzáadva: 2025. március 3.
UIKit
Köszönjük Andr.Ess segítségét.
Voice Memos
Köszönjük Lisa B segítségét.
WebKit
Köszönjük Avi Lumelsky (Oligo Security, Uri Katz of Oligo Security, Braylon (@softwarescool)), Eli Grey (eligrey.com), Johan Carlsson (joaxcar) és Numan Türle – Rıza Sabuncu segítségét.
Bejegyzés frissítve: 2024. október 28.
WindowServer
Köszönjük Felix Kratz segítségét.
Bejegyzés frissítve: 2024. október 28.
XprotectFramework
Köszönjük Koh M. Nakagawa (@tsunek0h) segítségét.
Bejegyzés hozzáadva: 2025. március 3.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.