A macOS Sequoia 15 biztonsági változásjegyzéke

Ez a dokumentum a macOS Sequoia 15 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Sequoia 15

Kiadási dátum: 2024. szeptember 16.

Accounts

A következőkhöz érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2020 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017 és újabb)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói információkat kiszivárogtatni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44129

Accounts

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

Érintett terület: A rosszindulatú alkalmazások módosíthatták a hálózati beállításokat.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

Bejegyzés hozzáadva: 2024. október 28.

APFS

Érintett terület: A gyökérszintű jogosultságokkal rendelkező rosszindulatú alkalmazás módosíthatja a rendszerfájlok tartalmát

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások hozzá tudtak férni személyes információkhoz.

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2024-44130

App Intents

Érintett terület: Az alkalmazások bizonyos esetekben hozzá tudtak férni a naplózott érzékeny adatokhoz, amikor egy parancs nem tudott elindítani egy másik alkalmazást.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2024-44154: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppleGraphicsControl

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-40845: Pwn2car, a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2024-40846: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppleMobileFileIntegrity

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: További kódaláírási korlátozásokkal elhárítottunk a hibát.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Érintett terület: A támadók bizalmas információkat tudtak olvasni.

Leírás: További kódaláírási korlátozásokkal elhárítottunk egy alacsonyabb szintre váltással kapcsolatos hibát.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: További korlátozásokkal elhárítottunk egy könyvtárinjektálással kapcsolatos hibát.

CVE-2024-44168: Claudio Bozzato és Francesco Benvenuto (Cisco Talos)

AppleVA

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-27860: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2024-27861: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppleVA

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2024-40841: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

AppSandbox

Érintett terület: A kamerabővítmények bizonyos esetekben hozzá tudtak férni az internethez.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-27795: Halle Winkler, Politepix, @hallewinkler

AppSandbox

Érintett terület: Egyes alkalmazások védett fájlokhoz férhetnek hozzá az App Sandbox konténerben.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor sérült a halommemória

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44126: Holger Fuhrmannek

Bejegyzés hozzáadva: 2024. október 28.

Automator

Érintett terület: Az Automator gyorsműveleti munkafolyamata bizonyos esetekben meg tudta kerülni a Gatekeepert.

Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.

CVE-2024-44128: Anton Boegler

bless

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Érintett terület: Az ártó szándékkal létrehozott archívumok kicsomagolása tetszőleges fájlok írását tehette lehetővé támadók számára.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Contacts

Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a kontaktokhoz.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2024-44172: Kirin (@Pwnrin)

Bejegyzés frissítve: 2025. január 27.

Control Center

Érintett terület: Az alkalmazások bizonyos esetekben nem jelezték, hogy felvételt készítenek a képernyőről.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-27869: anonim kutató

Control Center

Érintett terület: A mikrofon- és kamera-hozzáférésre vonatkozó adatvédelmi jelzők bizonyos esetekben tévesen jeleztek.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.

CVE-2024-44146: anonim kutató

Core Data

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

Bejegyzés hozzáadva: 2024. október 28.

CUPS

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2023-4504

DiskArbitration

Érintett terület: Az elkülönített alkalmazások képesek lehetnek hozzáférni bizalmas felhasználói adatokhoz

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40855: Fitzl Csaba (@theevilbit), Kandji

Bejegyzés hozzáadva: 2024. október 28.

Disk Images

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A fájlattribútumok hatékonyabb hitelesítésével elhárítottuk a problémát.

CVE-2024-44148: anonim kutató

Dock

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2024-44177: egy névtelen kutató

FileProvider

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54469: Fitzl Csaba (@theevilbit, Kandji)

Bejegyzés hozzáadva: 2025. március 3.

FileProvider

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2024-44131: @08Tc3wBB (Jamf)

Game Center

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy fájleléréssel kapcsolatos hibát.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Érintett terület: Az alkalmazások képesek voltak hozzáférni az eltávolítható kötetekhez felhasználói engedély nélkül

Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.

CVE-2024-54463: Yiğit Can YILMAZ (@yilmazcanyigit)

Bejegyzés hozzáadva: 2025. március 3.

Image Capture

Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a felhasználó fotókönyvtárához.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-27880: Junsung Lee

ImageIO

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2024-44176: dw0r (ZeroPointer Lab) a Trend Micro Zero Day Initiative kezdeményezés keretében, valamint egy anonim kutató

Installer

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott textúrák feldolgozása váratlan alkalmazásleállást okozott.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2024-44160: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Intel Graphics Driver

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott textúrák feldolgozása váratlan alkalmazásleállást okozott.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2024-44161: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

IOSurfaceAccelerator

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-44169: Antonio Zekić

Kernel

Érintett terület: Bizonyos esetekben a hálózati forgalom kiszivároghatott a VPN-alagúton kívülre.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-44165: Andrew Lytvynov

Kernel

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2024-44175: Fitzl Csaba (@theevilbit, Kandji)

Bejegyzés hozzáadva: 2024. október 28.

Kernel

Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a Bluetooth-hoz.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) és Mathy Vanhoef

LaunchServices

Érintett terület: Előfordult, hogy rosszindulatú alkalmazások alkalmazáskezelési engedély nélkül tudtak módosítani más alkalmazásokat.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)

Bejegyzés hozzáadva: 2025. március 3.

LaunchServices

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-44122: anonim kutató

Bejegyzés hozzáadva: 2024. október 28.

libxml2

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.

CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)

Mail Accounts

Érintett terület: Egyes alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-54473: Kirin (@Pwnrin)

Bejegyzés hozzáadva: 2025. március 3.

Maps

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével hárítottunk el egy problémát.

CVE-2024-44181: Kirin (@Pwnrin) és LFY (@secsys), Fudan University

mDNSResponder

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.

CVE-2024-44183: Olivier Levon

Model I/O

Érintett terület: Egy rosszindulatú célból létrehozott kép feldolgozása szolgáltatásmegtagadáshoz vezethetett.

CVE-2023-5841

Music

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-27858: Meng Zhang (鲸落, NorthSea), Fitzl Csaba (@theevilbit, Kandji)

Bejegyzés frissítve: 2024. október 28.

Notes

Érintett terület: Egyes alkalmazások képesek voltak tetszőleges fájlokat felülírni.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2024-44167: ajajfxhj

Notification Center

Érintett terület: A rosszindulatú alkalmazások bizonyos esetekben hozzá tudtak férni az értesítésekhez a felhasználó készülékéről.

Leírás: Elhárítottunk egy adatvédelemmel kapcsolatos problémát azáltal, hogy védett helyre helyeztük át a bizalmas adatokat.

CVE-2024-40838: Brian McNulty, Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia), Vaibhav Prajapati

NSColor

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2024-44186: anonim kutató

OpenSSH

Érintett terület: Az OpenSSH több biztonsági rése.

CVE-2024-39894

PackageKit

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Érintett terület: Nem titkosított dokumentum volt írható egy ideiglenes fájlba a nyomtatási előnézet használatakor.

Leírás: A fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2024-40826: anonim kutató

Quick Look

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44149: Wojciech Regula (SecuRing, wojciechregula.blog), Fitzl Csaba (@theevilbit, Kandji)

Bejegyzés frissítve: 2024. október 28.

Safari

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak sértették az iframe-ek sandboxban való futtatására vonatkozó szabályzatot.

Leírás: Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy egyedi URL-sémakezelési hibát.

CVE-2024-44155: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

Bejegyzés hozzáadva: 2024. október 28.

Sandbox

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a felhasználó fotókönyvtárához.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula (SecuRing, wojciechregula.blog), Kirin (@Pwnrin, NorthSea)

Bejegyzés hozzáadva: 2024. október 28.

SceneKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2024-44144: 냥냥

Bejegyzés hozzáadva: 2024. október 28.

Screen Capture

Érintett terület: A fizikai hozzáféréssel rendelkező támadók a zárolt képernyőről meg tudtak osztani tartalmakat.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44137: Halle Winkler, Politepix @hallewinkler

Bejegyzés hozzáadva: 2024. október 28.

Screen Capture

Érintett terület: A támadók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44174: Vivek Dhar a Border Security Force (Frontier Headquarter BSF Kashmir) segéd-felügyelőhelyetteseként (Assistant Sub-Inspector, RM)

Bejegyzés hozzáadva: 2024. október 28., frissítve: 2025. március 3.

Security

Érintett terület: A gyökérszintű engedélyekkel rendelkező rosszindulatú alkalmazások felhasználói beleegyezés nélkül is hozzáférhettek a billentyűzeten keresztüli szövegbevitelhez és a helyadatokhoz.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44123: Wojciech Regula (SecuRing, wojciechregula.blog)

Bejegyzés hozzáadva: 2024. október 28.

Security Initialization

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), anonim kutató

Shortcuts

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Érintett terület: Bizonyos esetekben a parancsok bizalmas adatokat jelenítettek meg a felhasználó hozzájárulása nélkül.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Érintett terület: Egy alkalmazás bizonyos esetekben meg tudta figyelni a felhasználó számára a Parancsok által megjelenített adatokat.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2024-40844: Kirin (@Pwnrin) és luckyu (@uuulucky, NorthSea)

Sidecar

Érintett terület: A macOS-eszközökhöz fizikai hozzáféréssel rendelkező támadók a Sidecar engedélyezett állapota esetén megkerülhették a zárolt képernyőt.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44145: Om Kothawade, Omar A. Alanis (UNTHSC College of Pharmacy)

Bejegyzés hozzáadva: 2024. október 28.

Siri

Érintett terület: Előfordult, hogy a készülékhez fizikai hozzáféréssel rendelkező támadók a zárolt képernyőről be tudták olvasni a kontaktok telefonszámait.

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2024-44179: Bistrit Dahal, Matej Moravec (@MacejkoMoravec)

Bejegyzés hozzáadva: 2025. március 3.

Siri

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Elhárítottunk egy adatvédelemmel kapcsolatos problémát azáltal, hogy biztonságosabb helyre helyeztük át a bizalmas adatokat.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) és LFY (@secsys), Fudan University

System Settings

Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Érintett terület: Egyes alkalmazások megtévesztéssel rá tudták venni a felhasználót, hogy hozzáférést adjon a fotókönyvtárában található fotókhoz.

Leírás: A folyamaton kívüli nézetek kezelési módjának javításával elhárítottunk egy kattintáseltérítést lehetővé tevő problémát.

CVE-2024-54558: Ron Masas (BreakPoint.sh) és egy anonim kutató

Bejegyzés hozzáadva: 2025. március 3.

TCC

Érintett terület: Az MDM által felügyelt készülékeken az alkalmazások bizonyos esetben meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft)

Transparency

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40859: Fitzl Csaba (@theevilbit, Kandji)

Bejegyzés frissítve: 2024. október 28.

Vim

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

CVE-2024-41957

WebKit

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Hatékonyabb állapotkezeléssel hárítottunk el egy sütikezelési problémát.

WebKit Bugzilla: 287874

CVE-2024-54467: Narendra Bhati (kiberbiztonsági menedzser, Suma Soft Pvt. Ltd., Púna, India)

Bejegyzés hozzáadva: 2025. március 3.

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

WebKit Bugzilla: 268770

CVE-2024-44192: Tashita Software Security

Bejegyzés hozzáadva: 2025. március 3.

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh és YoKo Kho (@yokoacc, HakTrak)

WebKit

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Eltérő eredetű adatokat érintő probléma állt fenn az iframe-elemek esetén. A biztonsági eredetek hatékonyabb nyomon követésével hárítottuk el a hibát.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

Wi-Fi

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-44227: Tim Michaud (@TimGMichaud, Moveworks.ai)

CVE-2024-54546: Antonio Zekic (@antoniozekic) és ant4g0nist

Bejegyzés hozzáadva: 2025. március 3.

Wi-Fi

Érintett terület: A jogosultsággal nem rendelkező felhasználók módosítani tudták a korlátozott hálózati beállításokat.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44134

Wi-Fi

Érintett terület: A támadók bizonyos esetekben el tudták érni a készülék leválasztását a biztonságos hálózatról.

Leírás: A jeladó védelmével megoldottuk az integritással kapcsolatos problémát.

CVE-2024-40856: Preet Dsouza (Fleming College, Computer Security & Investigations Program), Domien Schepers

Bejegyzés frissítve: 2025. március 3.

WindowServer

Érintett terület: Logikai probléma állt fenn, amelynek hatására a folyamatok bizonyos esetekben a felhasználó hozzájárulása nélkül is rögzíthették a képernyő tartalmát.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44189: Tim Clem

WindowServer

Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44208: anonim kutató

Bejegyzés hozzáadva: 2024. október 28.

XProtect

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A környezeti változók hatékonyabb validálásával oldottuk meg a problémát.

CVE-2024-40842: Kalman Gergely (@gergely_kalman)

XProtect

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

További köszönetnyilvánítás

Admin Framework

Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.

Bejegyzés frissítve: 2024. október 28.

Airport

Köszönjük David Dudok de Wit segítségét.

Bejegyzés frissítve: 2024. október 28.

APFS

Köszönjük Georgi Valkov (httpstorm.com) segítségét.

App Store

Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.

Bejegyzés frissítve: 2024. október 28.

AppKit

Köszönjük @08Tc3wBB (Jamf) segítségét.

Apple Neural Engine

Köszönjük Jiaxun Zhu (@svnswords) és Minghao Lin (@Y1nKoc) segítségét.

Automator

Köszönjük Koh M. Nakagawa (@tsunek0h) segítségét.

Core Bluetooth

Köszönjük Nicholas C. (Onymos Inc., onymos.com) segítségét.

Core Services

Köszönjük Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia), Kirin (@Pwnrin) és 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, valamint Zhongquan Li (@Guluisacat) segítségét.

CUPS

Köszönjük moein abas segítségét.

Bejegyzés hozzáadva: 2024. október 28.

Disk Utility

Köszönjük Fitzl Csaba (@theevilbit; Kandji) segítségét.

dyld

Köszönjük Pietro Francesco Tirenna, Davide Silvetti és Abdel Adim Oisfi (Shielder, shielder.com) segítségét.

Bejegyzés hozzáadva: 2024. október 28.

FileProvider

Köszönjük Kirin (@Pwnrin) segítségét.

Foundation

Köszönjük az Ostorlab segítségét.

ImageIO

Köszönjük Junsung Lee segítségét.

Bejegyzés hozzáadva: 2025. március 3.

Kernel

Köszönjük Braxton Anderson, Fakhri Zulkifli (@d0lph1n98, PixiePoint Security) segítségét.

libxpc

Köszönjük Rasmus Sten( F-Secure, Mastodon: @pajp@blog.dll.nu) segítségét.

LLVM

Köszönjük Victor Duta (Universiteit Amsterdam), Fabio Pagani (University of California, Santa Barbara), Cristiano Giuffrida (Universiteit Amsterdam), Marius Muench és Fabian Freyer segítségét.

Maps

Köszönjük Kirin (@Pwnrin) segítségét.

Music

Köszönjük Khiem Tran (databaselog.com/khiemtran), K宝 és LFY@secsys (Fudan University), valamint Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

Notification Center

Köszönjük Kirin (@Pwnrin) és LFYSec segítségét.

Bejegyzés hozzáadva: 2024. október 28.

Notifications

Köszönjük egy anonim kutató segítségét.

PackageKit

Köszönjük Fitzl Csaba (@theevilbit, Kandji), Mickey Jin (@patch1t) és Zhongquan Li (@Guluisacat) segítségét.

Bejegyzés frissítve: 2024. október 28.

Passwords

Köszönjük Richard Hyunho Im (@r1cheeta) segítségét.

Photos

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopál, India), Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar (Technocrat Institute of Technology, Bhopál), Shibin B Shaji, Vishnu Prasad P G, UST, Yusuf Kelany és Junior Vergara segítségét.

Bejegyzés frissítve: 2025. március 3.

Podcasts

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

Quick Look

Köszönjük Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com) segítségét.

Safari

Köszönjük Arthur Csatlós (Alef Union, alefunion.com), Hafiizh és YoKo Kho (@yokoacc, HakTrak), Junsung Lee, valamint Shaheen Fazim segítségét.

Bejegyzés frissítve: 2025. március 3.

Sandbox

Köszönjük Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia) segítségét.

Bejegyzés frissítve: 2024. október 28.

Screen Capture

Köszönjük Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) és egy anonim kutató segítségét.

SharePlay

Köszönjük egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2025. március 3.

Shortcuts

Köszönjük Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia), Jacob Braun és egy anonim kutató segítségét.

Siri

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopál, India), Rohan Paudel és egy anonim kutató segítségét.

Bejegyzés frissítve: 2024. október 28.

SystemMigration

Köszönjük Jamey Wicklund, Kevin Jansen és egy anonim kutató segítségét.

System Settings

Köszönjük Koh M. Nakagawa (@tsunek0h) segítségét.

Bejegyzés hozzáadva: 2025. március 3.

TCC

Köszönjük Noah Gregory (wts.dev) és Vaibhav Prajapati segítségét.

Terminal

Köszönjük Koh M. Nakagawa (@tsunek0h) segítségét.

Bejegyzés hozzáadva: 2025. március 3.

UIKit

Köszönjük Andr.Ess segítségét.

Voice Memos

Köszönjük Lisa B segítségét.

WebKit

Köszönjük Avi Lumelsky (Oligo Security, Uri Katz of Oligo Security, Braylon (@softwarescool)), Eli Grey (eligrey.com), Johan Carlsson (joaxcar) és Numan Türle – Rıza Sabuncu segítségét.

Bejegyzés frissítve: 2024. október 28.

WindowServer

Köszönjük Felix Kratz segítségét.

Bejegyzés frissítve: 2024. október 28.

XprotectFramework

Köszönjük Koh M. Nakagawa (@tsunek0h) segítségét.

Bejegyzés hozzáadva: 2025. március 3.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2025. augusztus 15.