macOS Sequoia 15 のセキュリティコンテンツについて

macOS Sequoia 15 のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。

macOS Sequoia 15

Accounts

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが重要なユーザ情報を漏洩させる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44129

Accounts

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：アクセス権のロジックを改善することで、この問題を解決しました。

CVE-2024-44153：Mickey Jin 氏 (@patch1t)

Accounts

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44188：Bohdan Stasiuk 氏 (@Bohdan_Stasiuk)

APFS

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：ルート権限を持つ悪意のあるアプリが、システムファイルの内容を変更できる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-40825：Pedro Tôrres 氏 (@t0rr3sp3dr0)

APNS

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリにルート権限を取得され、非公開の情報にアクセスされる可能性がある。

説明：この問題は、データ保護を強化することで解決されました。

CVE-2024-44130

App Intents

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：ショートカットが別のアプリを起動できない場合、アプリが機微なデータにアクセスできる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-44182：Kirin 氏 (@Pwnrin)

AppleGraphicsControl

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：メモリ処理を強化し、メモリ初期化の脆弱性に対処しました。

CVE-2024-44154：Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi)

AppleGraphicsControl

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意を持って作成されたビデオファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-40845：Trend Micro Zero Day Initiative に協力する Pwn2car 氏

CVE-2024-40846：Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi)

AppleMobileFileIntegrity

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリがプライバシーの環境設定を回避する可能性がある。

説明：この問題は、チェックを強化することで解決されました。

CVE-2024-44164：Mickey Jin 氏 (@patch1t)

AppleMobileFileIntegrity

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-40837：Kirin 氏 (@Pwnrin)

AppleMobileFileIntegrity

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：コード署名の制限を追加で設けて問題に対処しました。

CVE-2024-40847：Mickey Jin 氏 (@patch1t)

AppleMobileFileIntegrity

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：攻撃者に機微情報を読み取られる可能性がある。

説明：コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。

CVE-2024-40848：Mickey Jin 氏 (@patch1t)

AppleMobileFileIntegrity

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：制限を強化し、ライブラリのインジェクションの問題に対処しました。

CVE-2024-44168：Cisco Talos の Claudio Bozzato 氏および Francesco Benvenuto 氏

AppleVA

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリケーションが、制限されたメモリを読み取れる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-27860：Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi)

CVE-2024-27861：Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi)

AppleVA

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意を持って作成されたビデオファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。

CVE-2024-40841：Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi)

AppSandbox

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：カメラの機能拡張がインターネットにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-27795：Politepix の Halle Winkler 氏 (@hallewinkler)

AppSandbox

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが、アプリのサンドボックスコンテナ内の保護されたファイルにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44135：Mickey Jin 氏 (@patch1t)

ArchiveService

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：シンボリックリンクの処理を改善することで、この問題に対処しました。

CVE-2024-44132：Mickey Jin 氏 (@patch1t)

Automator

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：Automator のクイックアクションワークフローは、Gatekeeper を回避できる可能性がある。

説明：ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。

CVE-2024-44128：Anton Boegler 氏

bless

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44151：Mickey Jin 氏 (@patch1t)

Compression

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意を持って作成されたアーカイブを解凍すると、攻撃者が任意のファイルを書き込めるようになる可能性がある。

説明：ロック処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2024-27876：Snoolie Keffaber 氏 (@0xilis)

Control Center

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが、通知なしに画面を録画できる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-27869：匿名の研究者

Control Center

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：マイクまたはカメラへのアクセスに関するプライバシーインジケータが誤って表示される可能性がある。

説明：ステート管理を改善し、ロジックの問題に対処しました。

CVE-2024-27875：Yiğit Can YILMAZ 氏 (@yilmazcanyigit)

copyfile

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：ファイル処理を改善し、ロジックの問題に対処しました。

CVE-2024-44146：匿名の調査者

CUPS

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトには Apple ソフトウェアも含まれます。CVE-ID はサードパーティによって割り当てられました。この問題や CVE-ID について詳しくは、cve.org を確認してください。

CVE-2023-4504

Disk Images

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：ファイル属性の検証を強化し、この脆弱性に対処しました。

CVE-2024-44148：匿名の調査者

Dock

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：機微なデータを削除することで、プライバシーの問題に対処しました。

CVE-2024-44177：匿名の調査者

FileProvider

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：シンボリックリンクの検証を改善することで、この問題に対処しました。

CVE-2024-44131：Jamf の @08Tc3wBB 氏

Game Center

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：入力検証を強化して、ファイルへのアクセスの問題に対処しました。

CVE-2024-40850：Denis Tokarev 氏 (@illusionofcha0s)

Image Capture

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリがユーザの写真ライブラリにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-40831：Mickey Jin 氏 (@patch1t)

ImageIO

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：入力検証を強化して、領域外読み込みの脆弱性に対処しました。

CVE-2024-27880：Junsung Lee 氏

ImageIO

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：画像を処理すると、サービス運用妨害を受ける可能性がある。

説明：配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。

CVE-2024-44176：Trend Micro Zero Day Initiative に協力する ZeroPointer Lab の dw0r 氏、匿名の研究者

Installer

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリがルート権限を取得できる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-40861：Mickey Jin 氏 (@patch1t)

Intel Graphics Driver

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意を持って作成されたテクスチャを処理すると、アプリが予期せず終了する可能性がある。

説明：メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。

CVE-2024-44160：Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi)

Intel Graphics Driver

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意を持って作成されたテクスチャを処理すると、アプリが予期せず終了する可能性がある。

説明：配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。

CVE-2024-44161：Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi)

IOSurfaceAccelerator

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-44169：Antonio Zekić 氏

Kernel

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：ネットワークトラフィックが VPN トンネル外に流出する可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-44165：Andrew Lytvynov 氏

Kernel

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが Bluetooth に不正アクセスできる可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2024-44191：TU Darmstadt SEEMOO の Alexander Heinrich 氏 (@Sn0wfreeze)、KU Leuven DistriNet の Mathy Vanhoef 氏 (@vanhoefm)

libxml2

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意を持って作成された Web コンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：入力検証を強化することで、整数オーバーフローに対処しました。

CVE-2024-44198：OSS-Fuzz、Google Project Zero の Ned Williamson 氏

Mail Accounts

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリがユーザの連絡先に関する情報にアクセスできる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2024-40791：Rodolphe BRUNETTI 氏 (@eisw0lf)

Maps

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが機微な位置情報を読み取れる可能性がある。

説明：一時ファイルの処理を改善することで、問題に対処しました。

CVE-2024-44181：Fudan University の Kirin 氏 (@Pwnrin)、LFY 氏 (@secsys)

mDNSResponder

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリからサービス運用妨害を受ける可能性がある。

説明：ファイル処理を改善し、ロジックの問題に対処しました。

CVE-2024-44183：Olivier Levon 氏

Model I/O

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意を持って作成された画像を処理すると、サービス運用妨害を受ける可能性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトには Apple ソフトウェアも含まれます。CVE-ID はサードパーティによって割り当てられました。この問題や CVE-ID について詳しくは、cve.org を確認してください。

CVE-2023-5841

Music

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-27858：NorthSea の Meng Zhang (鲸落) 氏、Offensive Security の Csaba Fitzl 氏 (@theevilbit)

Notes

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが任意のファイルに上書きできる可能性がある。

説明：この問題は、脆弱なコードを削除することで解決されました。

CVE-2024-44167：ajajfxhj 氏

Notification Center

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意のあるアプリがユーザのデバイスから通知にアクセスできる可能性がある。

説明：機微なデータを保護された場所に移動することで、プライバシーの問題に対処しました。

CVE-2024-40838：Brian McNulty 氏、"Tudor Vianu" National High School of Computer Science (ルーマニア) の Cristian Dinca 氏、Jacob Braun 氏、Vaibhav Prajapati 氏

NSColor

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。

CVE-2024-44186：匿名の調査者

OpenSSH

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：OpenSSH に複数の脆弱性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトには Apple ソフトウェアも含まれます。CVE-ID はサードパーティによって割り当てられました。この問題や CVE-ID について詳しくは、cve.org を確認してください。

CVE-2024-39894

PackageKit

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：シンボリックリンクの検証を改善することで、この問題に対処しました。

CVE-2024-44178：Mickey Jin 氏 (@patch1t)

Printing

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：プリントのプレビューを使用したときに、暗号化されていない書類が一時ファイルに書き込まれる可能性がある。

説明：ファイルの処理を改善することで、プライバシーの問題に対処しました。

CVE-2024-40826：匿名の調査者

Quick Look

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44149：SecuRing の Wojciech Regula 氏 (wojciechregula.blog)、OffSec の Csaba Fitzl 氏 (@theevilbit)

Safari

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意のある Web サイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2024-40797：Rifa'i Rejal Maynando 氏

Sandbox

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意のあるアプリケーションにより、機微なユーザ情報が漏洩する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44125：Zhongquan Li 氏 (@Guluisacat)

Sandbox

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意のあるアプリケーションに、非公開の情報にアクセスされる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44163：Zhongquan Li 氏 (@Guluisacat)

Security Initialization

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-40801：Zhongquan Li 氏 (@Guluisacat)、Pedro José Pereira Vieito 氏 (@pvieito)、匿名の研究者

Shortcuts

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-40837：Kirin 氏 (@Pwnrin)

Shortcuts

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：ショートカットがユーザの同意なく重要なユーザデータを出力できる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-44158：Kirin 氏 (@Pwnrin)

Shortcuts

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：ショートカットによってユーザに表示されるデータをアプリが参照できる可能性がある

説明：一時ファイルの処理を改善することで、プライバシーの問題に対処しました。

CVE-2024-40844：NorthSea の Kirin 氏 (@Pwnrin) および luckyu 氏 (@uuulucky)

Siri

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：機微なデータをより安全な場所に移動することで、プライバシーの問題に対処しました。

CVE-2024-44170：K宝氏、LFY 氏 (@secsys)、Smi1e 氏、yulige 氏、Cristian Dinca 氏 (icmd.tech)、Rodolphe BRUNETTI 氏 (@eisw0lf)

sudo

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-40860：Arsenii Kostromin 氏 (0x3c3e)

System Settings

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2024-44152：Kirin 氏 (@Pwnrin)

CVE-2024-44166：Fudan University の Kirin (@Pwnrin) and LFY (@secsys)

System Settings

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが任意のファイルを読み取れる可能性がある。

説明：検証を強化して、パスの処理における脆弱性に対処しました。

CVE-2024-44190：Rodolphe BRUNETTI (@eisw0lf)

TCC

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：MDM 管理対象のデバイスで、アプリが一部のプライバシーの環境設定を回避する可能性がある。

説明：この問題は、脆弱なコードを削除することで解決されました。

CVE-2024-44133：Microsoft の Jonathan Bar Or 氏 (@yo_yo_yo_jbo)

Transparency

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44184：Bohdan Stasiuk 氏 (@Bohdan_Stasiuk)

TV App

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-40859：Offensive Security の Csaba Fitzl 氏 (@theevilbit)

Vim

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトには Apple ソフトウェアも含まれます。CVE-ID はサードパーティによって割り当てられました。この問題や CVE-ID について詳しくは、cve.org を確認してください。

CVE-2024-41957

WebKit

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意を持って作成された Web コンテンツを処理すると、ユニバーサルクロスサイトスクリプティング攻撃につながるおそれがある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2024-40857：Ron Masas 氏

WebKit

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意のある Web サイトにアクセスすると、アドレスバーを偽装される可能性がある。

説明：UI を改善することで、この問題を解決しました。

CVE-2024-40866：HakTrak の Hafiizh 氏と YoKo Kho 氏 (@yokoacc)

WebKit

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：悪意のある Web サイトに、データをクロスオリジンで取得される可能性がある。

説明："iframe" 要素にクロスオリジンの脆弱性がありました。この問題は、セキュリティオリジンの追跡を強化することで解決されました。

CVE-2024-44187：Suma Soft Pvt.Ltd. (インド、プネー) の Narendra Bhati 氏 (twitter.com/imnarendrabhati)

Wi-Fi

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：特権を持たないユーザが、制限されたネットワーク設定を変更できる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-40770：Yiğit Can YILMAZ 氏 (@yilmazcanyigit)

Wi-Fi

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリからサービス運用妨害を受ける可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-23237：Charly Suchanek 氏

Wi-Fi

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが機微な位置情報を読み取れる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-44134

Wi-Fi

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：攻撃者は、デバイスを強制的に安全なネットワークから切断できる可能性がある。

説明：Beacon Protection を使って、整合性の問題を解決しました。

CVE-2024-40856：Domien Schepers 氏

WindowServer

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：ロジックに問題があり、ユーザの同意なしにプロセスが画面の内容をキャプチャできる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44189：Tim Clem 氏

XProtect

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：環境変数の検証を改善することで、この問題に対処しました。

CVE-2024-40842：Gergely Kalman 氏 (@gergely_kalman)

XProtect

対象 OS：Mac Studio (2022 以降)、iMac (2019 以降)、Mac Pro (2019 以降)、Mac Mini (2018 以降)、MacBook Air (2020 以降)、MacBook Pro (2018 以降)、iMac Pro (2017 以降)

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-40843：Koh M. Nakagawa 氏 (@tsunek0h)

ご協力いただいたその他の方々

Admin Framework

Offensive Security の Csaba Fitzl 氏 (@theevilbit) のご協力に感謝いたします。

AirMac

David Dudok de Wit、氏、Yiğit Can YILMAZ 氏 (@yilmazcanyigit) のご協力に感謝いたします。

APFS

Georgi Valkov 氏 (httpstorm.com) のご協力に感謝いたします。

App Store

Offensive Security の Csaba Fitzl 氏 (@theevilbit) のご協力に感謝いたします。

AppKit

Jamf の @08Tc3wBB 氏のご協力に感謝いたします。

Apple Neural Engine

Jiaxun Zhu 氏 (@svnswords) および Minghao Lin 氏 (@Y1nKoc) のご協力に感謝いたします。

Automator

Koh M. Nakagawa 氏 (@tsunek0h) のご協力に感謝いたします。

Core Bluetooth

Onymos Inc. (onymos.com) の Nicholas C. 氏のご協力に感謝いたします。

Core Services

"Tudor Vianu" National High School of Computer Science (ルーマニア) の Cristian Dinca 氏、Kirin 氏 (@Pwnrin) および 7feilee 氏、Snoolie Keffaber 氏(@0xilis)、Tal Lossos 氏、Zhongquan Li 氏 (@Guluisacat) のご協力に感謝いたします。

Disk Utility

Kandji の Csaba Fitzl 氏 (@theevilbit) のご協力に感謝いたします。

FileProvider

Kirin 氏 (@Pwnrin) のご協力に感謝いたします。

Foundation

Ostorlab のご協力に感謝いたします。

Kernel

Braxton Anderson 氏、PixiePoint Security の Fakhri Zulkifli 氏 (@d0lph1n98) のご協力に感謝いたします。

libxpc

Rasmus Sten 氏、F-Secure 氏 (Mastodon：@pajp@blog.dll.nu) のご協力に感謝いたします。

LLVM

アムステルダム大学の Victor Duta 氏、カリフォルニア大学サンタバーバラ校の Fabio Pagani 氏、アムステルダム大学の Cristiano Giuffrida 氏、および Marius Muench 氏、Fabian Freyer 氏のご協力に感謝いたします。

Maps

Kirin 氏 (@Pwnrin) のご協力に感謝いたします。

Music

databaselog.com/khiemtran の Khiem Tran 氏、Fudan University の K宝氏および LFY@secsys 氏、Yiğit Can YILMAZ 氏 (@yilmazcanyigit) のご協力に感謝いたします。

Notifications

匿名の研究者のご協力に感謝いたします。

PackageKit

OffSec の Csaba Fitzl (@theevilbit) 氏、Mickey Jin (@patch1t) 氏、Zhongquan Li 氏 (@Guluisacat) のご協力に感謝いたします。

Passwords

Richard Hyunho Im 氏 (@r1cheeta) のご協力に感謝いたします。

Photos

Lakshmi Narain College of Technology Bhopal India の Abhay Kailasia 氏 (@abhay_kailasia)、および Harsh Tyagi 氏、Leandro Chaves 氏のご協力に感謝いたします。

Podcasts

Yiğit Can YILMAZ 氏 (@yilmazcanyigit) のご協力に感謝いたします。

Quick Look

Tencent Security Xuanwu Lab (xlab.tencent.com) のZhipeng Huo 氏 (@R3dF09) のご協力に感謝いたします。

Safari

HakTrak の Hafiizh and YoKo Kho 氏 (@yokoacc)、および Junsung Lee 氏、Shaheen Fazim 氏のご協力に感謝いたします。

Sandbox

"Tudor Vianu" National High School of Computer Science (ルーマニア) の Cristian Dinca 氏、NorthSea の Kirin 氏 (@Pwnrin)、SecuRing の Wojciech Regula 氏 (wojciechregula.blog)、Yiğit Can YILMAZ 氏 (@yilmazcanyigit) のご協力に感謝いたします。

Screen Capture

Joshua Jewett 氏 (@JoshJewett33)、Yiğit Can YILMAZ 氏 (@yilmazcanyigit)、および匿名の研究者のご協力に感謝いたします。

Shortcuts

"Tudor Vianu" National High School of Computer Science(ルーマニア) の Cristian Dinca 氏、Jacob Braun 氏、匿名の調査者のご協力に感謝いたします。

Siri

Rohan Paudel 氏のご協力に感謝いたします。

SystemMigration

Jamey Wicklund 氏、Kevin Jansen 氏、匿名の調査者のご協力に感謝いたします。

TCC

Noah Gregory 氏 (wts.dev)、Vaibhav Prajapati 氏のご協力に感謝いたします。

UIKit

Andr.Ess 氏のご協力に感謝いたします。

Voice Memos

Lisa B 氏のご協力に感謝いたします。

WebKit

Avi Lumelsky 氏、Uri Katz 氏 (Oligo Security)、Johan Carlsson 氏 (joaxcar) のご協力に感謝いたします。

Wi-Fi

Antonio Zekic 氏 (@antoniozekic)、ant4g0nist 氏、Moveworks.ai の Tim Michaud 氏 (@TimGMichaud) のご協力に感謝いたします。

WindowServer

Felix Kratz 氏、匿名の研究者のご協力に感謝いたします。