Mengenai konten keamanan macOS Sonoma 14.5

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

Dirilis pada 13 Mei 2024

AppleAVD

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat menyebabkan sistem berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Entri diperbarui pada 15 Mei 2024

AppleMobileFileIntegrity

Tersedia untuk: macOS Sonoma

Dampak: Penyerang lokal dapat memperoleh akses ke item Rantai Kunci

Deskripsi: Masalah penurunan telah diatasi dengan tambahan pembatasan penandatanganan kode.

CVE-2024-27837: Mickey Jin (@patch1t) dan ajajfxhj

AppleMobileFileIntegrity

Tersedia untuk: macOS Sonoma

Dampak: Penyerang mungkin dapat mengakses data pengguna

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27816: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat melewatkan preferensi Privasi tertentu

Deskripsi: Masalah penurunan yang memengaruhi komputer Mac berbasis Intel telah diatasi dengan tambahan pembatasan penandatanganan kode.

CVE-2024-27825: Kirin (@Pwnrin)

AppleVA

Tersedia untuk: macOS Sonoma

Dampak: Memproses file dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-27829: Amir Bazine dan Karsten König dari CrowdStrike Counter Adversary Operations, dan Pwn2car yang bekerja sama dengan Zero Day Initiative dari Trend Micro

AVEVideoEncoder

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengungkapkan memori kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-27841: peneliti anonim

CFNetwork

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat membaca file arbitrer

Deskripsi: Masalah ketepatan telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-23236: Ron Masas dari Imperva

Core Data

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan validasi variabel lingkungan yang ditingkatkan.

CVE-2024-27805: Kirin (@Pwnrin) dan 小来来 (@Smi1eSEC)

Entri ditambahkan pada 10 Juni 2024

CoreMedia

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27817: pattern-f (@pattern_F_) of Ant Security Light-Year Lab

Entri ditambahkan pada 10 Juni 2024

CoreMedia

Tersedia untuk: macOS Sonoma

Dampak: Memproses file dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.

CVE-2024-27831: Amir Bazine dan Karsten König dari CrowdStrike Counter Adversary Operations

Entri ditambahkan pada 10 Juni 2024

Disk Images

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27832: peneliti anonim

Entri ditambahkan pada 10 Juni 2024

Finder

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat membaca file arbitrer

Deskripsi: Masalah ini telah diatasi melalui manajemen kondisi yang ditingkatkan.

CVE-2024-27827: peneliti anonim

Foundation

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27801: Tim CertiK SkyFall

Entri ditambahkan pada 10 Juni 2024

ImageIO

Tersedia untuk: macOS Sonoma

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27836: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 10 Juni 2024

IOHIDFamily

Tersedia untuk: macOS Sonoma

Dampak: Aplikasi yang tidak memiliki hak istimewa mungkin dapat mencatat penekanan tombol di aplikasi lain, termasuk aplikasi yang menggunakan mode input aman

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan hak tambahan.

CVE-2024-27799: peneliti anonim

Entri ditambahkan pada 10 Juni 2024

Kernel

Tersedia untuk: macOS Sonoma

Dampak: Penyerang mungkin dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-27818: pattern-f (@pattern_F_) dari Ant Security Light-Year Lab

Kernel

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.

CVE-2024-27815: peneliti anonim dan Joseph Ravichandran (@0xjprx) dari MIT CSAIL

Entri ditambahkan pada 10 Juni 2024

libiconv

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27811: Nick Wellnhofer

Entri ditambahkan pada 10 Juni 2024

Libsystem

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data pengguna yang dilindungi

Deskripsi: Masalah izin telah diatasi dengan menghapus kode yang rentan dan menambahkan pemeriksaan tambahan.

CVE-2023-42893: peneliti anonim

Mail

Tersedia untuk: macOS Sonoma

Dampak: Penyerang yang memiliki akses fisik mungkin dapat membocorkan kredensial akun Mail

Deskripsi: Masalah autentikasi telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2024-23251: Gil Pedersen

Entri ditambahkan pada 10 Juni 2024

Mail

Tersedia untuk: macOS Sonoma

Dampak: Email perusak yang berbahaya mungkin dapat memulai panggilan FaceTime tanpa otorisasi pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Entri ditambahkan pada 10 Juni 2024

Maps

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2024-27810: LFY@secsys dari Fudan University

Messages

Tersedia untuk: macOS Sonoma

Dampak: Memproses pesan perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2024-27800: Daniel Zajork dan Joshua Zajork

Entri ditambahkan pada 10 Juni 2024

Metal

Tersedia untuk: macOS Sonoma

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 10 Juni 2024

Metal

Tersedia untuk: macOS Sonoma

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-27857: Michael DePlante (@izobashi) dari Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 10 Juni 2024

PackageKit

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2024-27822: Scott Johnson, Mykola Grymalyuk dari RIPEDA Consulting, Jordy Witteman, dan Carlos Polop

PackageKit

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)

PackageKit

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.

CVE-2024-27885: Mickey Jin (@patch1t)

Entri ditambahkan pada 10 Juni 2024

PrintCenter

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengeksekusi kode arbitrer di luar sandbox-nya atau dengan hak istimewa tertentu yang lebih tinggi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27813: peneliti anonim

PrintCenter

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengeksekusi kode arbitrer di luar sandbox-nya atau dengan hak istimewa tertentu yang lebih tinggi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27813: peneliti anonim

Entri ditambahkan pada 10 Juni 2024

RemoteViewServices

Tersedia untuk: macOS Sonoma

Dampak: Penyerang mungkin dapat mengakses data pengguna

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27816: Mickey Jin (@patch1t)

RemoteViewServices

Tersedia untuk: macOS Sonoma

Dampak: Penyerang mungkin dapat mengakses data pengguna

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27816: Mickey Jin (@patch1t)

Entri ditambahkan pada 10 Juni 2024

Safari

Tersedia untuk: macOS Sonoma

Dampak: Dialog izin situs web mungkin tetap ada setelah navigasi menjauh dari situs

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27844: Narendra Bhati dari Suma Soft Pvt. Ltd in Pune (India), Shaheen Fazim

Entri ditambahkan pada 10 Juni 2024

SharedFileList

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27843: Mickey Jin (@patch1t)

Shortcuts

Tersedia untuk: macOS Sonoma

Dampak: Pintasan mungkin memberikan output data rahasia pengguna tanpa izin

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2024-27821: Kirin (@Pwnrin), zbleet, dan Csaba Fitzl (@theevilbit) dari Kandji

Shortcuts

Tersedia untuk: macOS Sonoma

Dampak: Pintasan mungkin dapat menggunakan data sensitif dengan tindakan tertentu tanpa meminta izin pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27855: peneliti anonim

Entri ditambahkan pada 10 Juni 2024

Spotlight

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan sanitasi lingkungan yang ditingkatkan.

CVE-2024-27806

Entri ditambahkan pada 10 Juni 2024

StorageKit

Tersedia untuk: macOS Sonoma

Dampak: Penyerang mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2024-27798: Yann GASCUEL dari Alter Solutions

StorageKit

Tersedia untuk: macOS Sonoma

Dampak: App yang berbahaya dapat memperoleh hak istimewa root

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin yang lebih baik.

CVE-2024-27848: Csaba Fitzl (@theevilbit) dari Kandji

Entri ditambahkan pada 10 Juni 2024

Sync Services

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat melewatkan preferensi Privasi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan

CVE-2024-27847: Mickey Jin (@patch1t)

udf

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27842: Tim CertiK SkyFall

Voice Control

Tersedia untuk: macOS Sonoma

Dampak: Penyerang mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27796: ajajfxhj

WebKit

Tersedia untuk: macOS Sonoma

Dampak: Penyerang dengan kemampuan membaca dan menulis arbitrer mungkin dapat melewati Autentikasi Penunjuk

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

WebKit

Tersedia untuk: macOS Sonoma

Dampak: Halaman web perusak yang berbahaya mungkin dapat membuat representasi unik dari pengguna

Deskripsi: Masalah ini telah diatasi dengan menambahkan logika tambahan.

WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos dari Mozilla

Entri ditambahkan pada 10 Juni 2024

WebKit

Tersedia untuk: macOS Sonoma

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard dari CISPA Helmholtz Center for Information Security

Entri ditambahkan pada 10 Juni 2024

WebKit

Tersedia untuk: macOS Sonoma

Dampak: Halaman web perusak yang berbahaya mungkin dapat membuat representasi unik dari pengguna

Deskripsi: Masalah ini diatasi dengan perbaikan pada algoritme injeksi noise.

WebKit Bugzilla: 270767
CVE-2024-27850: peneliti anonim

Entri ditambahkan pada 10 Juni 2024

WebKit

Tersedia untuk: macOS Sonoma

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) dari 360 Vulnerability Research Institute

Entri ditambahkan pada 10 Juni 2024

WebKit

Tersedia untuk: macOS Sonoma

Dampak: Penyerang berbahaya dengan kemampuan membaca dan menulis arbitrer mungkin dapat melewati Autentikasi Penunjuk

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 10 Juni 2024

WebKit Canvas

Tersedia untuk: macOS Sonoma

Dampak: Halaman web perusak yang berbahaya mungkin dapat membuat representasi unik dari pengguna

Deskripsi: Masalah ini telah diatasi melalui manajemen kondisi yang ditingkatkan.

WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) dari Crawless dan @abrahamjuliot

Entri ditambahkan pada 10 Juni 2024

WebKit Web Inspector

Tersedia untuk: macOS Sonoma

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson dari underpassapp.com

Entri ditambahkan pada 10 Juni 2024

App Store

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

AppleMobileFileIntegrity

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.

Entri ditambahkan pada 10 Juni 2024

CoreHAP

Kami ingin mengucapkan terima kasih kepada Adrian Cable atas bantuannya.

Disk Images

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.

Entri ditambahkan pada 10 Juni 2024

HearingCore

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

ImageIO

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

Entri ditambahkan pada 10 Juni 2024

Managed Configuration

Kami ingin mengucapkan terima kasih kepada 遥遥领先 (@晴天组织) atas bantuannya.

Music

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

Safari Downloads

Kami ingin mengucapkan terima kasih kepada Arsenii Kostromin (0x3c3e) atas bantuannya.

Transparency

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.

Entri ditambahkan pada 10 Juni 2024