macOS Sequoia 15のセキュリティコンテンツについて

macOS Sequoia 15のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

macOS Sequoia 15

2024年9月16日リリース

Accounts

対象OS：Mac Studio（2022以降）、iMac（2019以降）、Mac Pro（2019以降）、Mac mini（2018以降）、MacBook Air（2020以降）、MacBook Pro（2018以降）、iMac Pro（2017以降）

影響：アプリが重要なユーザ情報を漏洩させる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44129

Accounts

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：アクセス権のロジックを改善することで、この問題を解決しました。

CVE-2024-44153：Mickey Jin氏（@patch1t）

Accounts

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44188：Bohdan Stasiuk氏（@Bohdan_Stasiuk）

AirMac

影響：悪意のあるアプリによってネットワーク設定を変更される可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-40792：Yiğit Can YILMAZ氏（@yilmazcanyigit）

2024年10月28日に追加

APFS

影響：ルート権限を持つ悪意のあるアプリが、システムファイルの内容を変更できる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-40825：Pedro Tôrres氏（@t0rr3sp3dr0）

APNS

影響：アプリにルート権限を取得され、非公開の情報にアクセスされる可能性がある。

説明：この問題は、データ保護を強化することで解決されました。

CVE-2024-44130

App Intents

影響：ショートカットが別のアプリを起動できない場合、アプリが機微なデータにアクセスできる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-44182：Kirin氏（@Pwnrin）

AppleGraphicsControl

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：メモリ処理を強化し、メモリ初期化の脆弱性に対処しました。

CVE-2024-44154：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

AppleGraphicsControl

影響：悪意を持って作成されたビデオファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-40845：Trend Micro Zero Day Initiativeに協力するPwn2car氏

CVE-2024-40846：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

AppleMobileFileIntegrity

影響：アプリがプライバシーの環境設定を回避する可能性がある。

説明：この問題は、チェックを強化することで解決されました。

CVE-2024-44164：Mickey Jin氏（@patch1t）

AppleMobileFileIntegrity

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-40837：Kirin氏（@Pwnrin）

AppleMobileFileIntegrity

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：コード署名の制限を追加で設けて問題に対処しました。

CVE-2024-40847：Mickey Jin氏（@patch1t）

AppleMobileFileIntegrity

影響：攻撃者に機微情報を読み取られる可能性がある。

説明：コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。

CVE-2024-40848：Mickey Jin氏（@patch1t）

AppleMobileFileIntegrity

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：制限を強化し、ライブラリのインジェクションの問題に対処しました。

CVE-2024-44168：Cisco TalosのClaudio Bozzato氏およびFrancesco Benvenuto氏

AppleVA

影響：アプリケーションが、制限されたメモリを読み取れる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-27860：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

CVE-2024-27861：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

AppleVA

影響：悪意を持って作成されたビデオファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。

CVE-2024-40841：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

AppSandbox

影響：カメラの機能拡張がインターネットにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-27795：PolitepixのHalle Winkler氏（@hallewinkler）

AppSandbox

影響：アプリが、アプリのサンドボックスコンテナ内の保護されたファイルにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44135：Mickey Jin氏（@patch1t）

ArchiveService

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：シンボリックリンクの処理を改善することで、この問題に対処しました。

CVE-2024-44132：Mickey Jin氏（@patch1t）

ARKit

影響：悪意を持って作成されたファイルを処理すると、ヒープ破損が起きる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44126：Holger Fuhrmannek氏

2024年10月28日に追加

Automator

影響：Automatorのクイックアクションワークフローは、Gatekeeperを回避できる可能性がある。

説明：ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。

CVE-2024-44128：Anton Boegler氏

bless

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44151：Mickey Jin氏（@patch1t）

Compression

影響：悪意を持って作成されたアーカイブのパックを解除すると、攻撃者が任意のファイルを書き込めるようになる可能性がある。

説明：ロック処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2024-27876：Snoolie Keffaber氏（@0xilis）

Contacts

影響：アプリが連絡先にアクセスできる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2024-44172：Kirin氏（@Pwnrin）

2025年1月27日に追加

Control Center

影響：アプリが、通知なしに画面を録画できる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-27869：匿名の研究者

Control Center

影響：マイクまたはカメラへのアクセスに関するプライバシーインジケータが誤って表示される可能性がある。

説明：ステート管理を改善し、ロジックの問題に対処しました。

CVE-2024-27875：Yiğit Can YILMAZ氏（@yilmazcanyigit）

copyfile

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：ファイル処理を改善し、ロジックの問題に対処しました。

CVE-2024-44146：匿名の調査者

Core Data

影響：アプリが機微な位置情報を読み取れる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2024-27849：Kirin氏（@Pwnrin）、Rodolphe Brunetti氏（@eisw0lf）

2024年10月28日に追加

CUPS

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを確認してください。

CVE-2023-4504

DiskArbitration

影響：サンドボックス化されたアプリが機微なユーザデータにアクセスできる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-40855：KandjiのCsaba Fitzl氏（@theevilbit）

2024年10月28日に追加

Disk Images

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：ファイル属性の検証を強化し、この脆弱性に対処しました。

CVE-2024-44148：匿名の調査者

Dock

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：機微なデータを削除することで、プライバシーの問題に対処しました。

CVE-2024-44177：匿名の調査者

FileProvider

影響：ローカルユーザにより、重要なユーザ情報が漏洩される可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54469：KandjiのCsaba Fitzl氏（@theevilbit）

2025年3月3日に追加

FileProvider

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：シンボリックリンクの検証を改善することで、この問題に対処しました。

CVE-2024-44131：Jamfの@08Tc3wBB氏

Game Center

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：入力検証を強化して、ファイルへのアクセスの問題に対処しました。

CVE-2024-40850：Denis Tokarev（@illusionofcha0s）氏

Image Capture

影響：ユーザの同意がなくてもアプリがリムーバブルボリュームにアクセスできる可能性がある。

説明：この問題は、エンタイトルメントを改善することで解決されました。

CVE-2024-54463：Yiğit Can YILMAZ氏（@yilmazcanyigit）

2025年3月3日に追加

Image Capture

影響：アプリがユーザの写真ライブラリにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-40831：Mickey Jin氏（@patch1t）

ImageIO

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：入力検証を強化して、領域外読み込みの脆弱性に対処しました。

CVE-2024-27880：Junsung Lee氏

ImageIO

影響：画像を処理すると、サービス運用妨害を受ける可能性がある。

説明：配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。

CVE-2024-44176: Trend Micro Zero Day Initiativeに協力するZeroPointer Labのdw0r氏、匿名の研究者

Installer

影響：アプリがルート権限を取得できる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-40861：Mickey Jin氏（@patch1t）

Intel Graphics Driver

影響：悪意を持って作成されたテクスチャを処理すると、アプリが予期せず終了する可能性がある。

説明：メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。

CVE-2024-44160：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

Intel Graphics Driver

影響：悪意を持って作成されたテクスチャを処理すると、アプリが予期せず終了する可能性がある。

説明：配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。

CVE-2024-44161：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

IOSurfaceAccelerator

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-44169：Antonio Zekić 氏

Kernel

影響：ネットワークトラフィックがVPNトンネル外に流出する可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-44165：Andrew Lytvynov氏

Kernel

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：シンボリックリンクの検証を改善することで、この問題に対処しました。

CVE-2024-44175：KandjiのCsaba Fitzl氏（@theevilbit）

2024年10月28日に追加

Kernel

影響：アプリがBluetoothに不正アクセスできる可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2024-44191：Alexander Heinrich氏、SEEMOO、DistriNet、KU Leuven（@vanhoefm）、TU Darmstadt（@Sn0wfreeze）およびMathy Vanhoef氏

LaunchServices

影響：悪意のあるアプリによって、アプリ管理許可がないほかのアプリが変更される可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-54560：Kirin氏（@Pwnrin）、Jeff Johnson氏（underpassapp.com）

2025年3月3日に追加

LaunchServices

影響：アプリケーションがサンドボックスを破って外部で実行される可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-44122：匿名の研究者

2024年10月28日に追加

libxml2

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：入力検証を強化することで、整数オーバーフローに対処しました。

CVE-2024-44198：OSS-Fuzz、Google Project ZeroのNed Williamson氏

Mail Accounts

影響：アプリがユーザの連絡先に関する情報にアクセスできる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2024-40791：Rodolphe BRUNETTI氏（@eisw0lf）

Maps

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-54473：Kirin氏（@Pwnrin）

2025年3月3日に追加

Maps

影響：アプリが機微な位置情報を読み取れる可能性がある。

説明：一時ファイルの処理を改善することで、問題に対処しました。

CVE-2024-44181：Fudan UniversityのKirin氏（@Pwnrin）、LFY氏（@secsys）

mDNSResponder

影響：アプリからサービス運用妨害を受ける可能性がある。

説明：エラー処理を改善し、ロジックの問題に対処しました。

CVE-2024-44183：Olivier Levon氏

Model I/O

影響：悪意を持って作成された画像を処理すると、サービス運用妨害を受ける可能性がある。

CVE-2023-5841

Music

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-27858：NorthSeaのMeng Zhang氏（鲸落）、KandjiのCsaba Fitzl氏（@theevilbit）

2024年10月28日に更新

Notes

影響：アプリが任意のファイルに上書きできる可能性がある。

説明：この問題は、脆弱なコードを削除することで解決されました。

CVE-2024-44167：ajajfxhj氏

Notification Center

影響：悪意のあるアプリがユーザのデバイスから通知にアクセスできる可能性がある。

説明：機微なデータを保護された場所に移動することで、プライバシーの問題に対処しました。

CVE-2024-40838：Brian McNulty氏、"Tudor Vianu" National High School of Computer Science（ルーマニア）のCristian Dinca氏、Jacob Braun氏、Vaibhav Prajapati氏

NSColor

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。

CVE-2024-44186：匿名の調査者

OpenSSH

影響：OpenSSHに複数の脆弱性がある。

CVE-2024-39894

PackageKit

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：シンボリックリンクの検証を改善することで、この問題に対処しました。

CVE-2024-44178：Mickey Jin氏（@patch1t）

Printing

影響：プリントのプレビューを使用したときに、暗号化されていない書類が一時ファイルに書き込まれる可能性がある。

説明：ファイルの処理を改善することで、プライバシーの問題に対処しました。

CVE-2024-40826：匿名の調査者

Quick Look

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44149：SecuRingのWojciech Regula氏（wojciechregula.blog）、KandjiのCsaba Fitzl氏（@theevilbit）

2024年10月28日に更新

Safari

影響：悪意のあるWebサイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2024-40797：Rifa'i Rejal Maynando氏

Safari

影響：悪意を持って作成されたWebコンテンツが、iframeのサンドボックス化ポリシーに違反する可能性がある。

説明：入力検証を強化し、カスタムURLスキームの処理における脆弱性に対処しました。

CVE-2024-44155：Suma Soft Pvt. Ltd.（インド、プネー）のNarendra Bhati氏（twitter.com/imnarendrabhati）

2024年10月28日に追加

Sandbox

影響：悪意のあるアプリケーションにより、機微なユーザ情報が漏洩する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44125：Zhongquan Li氏（@Guluisacat）

Sandbox

影響：悪意のあるアプリケーションに、非公開の情報にアクセスされる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44163：Zhongquan Li氏（@Guluisacat）

Sandbox

影響：アプリがユーザの写真ライブラリにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44203：Yiğit Can YILMAZ氏（@yilmazcanyigit）、SecuRingのWojciech Regula氏（wojciechregula.blog）、NorthSeaのKirin氏（@Pwnrin）

2024年10月28日に追加

SceneKit

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：サイズ検証を強化し、バッファオーバーフローに対処しました。

CVE-2024-44144：냥냥

2024年10月28日に追加

Screen Capture

影響：物理的にアクセス可能な攻撃者が、ロック画面からアイテムを共有できる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44137：PolitepixのHalle Winkler氏（@hallewinkler）

2024年10月28日に追加

Screen Capture

影響：制限されたコンテンツをロック画面から攻撃者が閲覧できる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44174：Vivek Dhar氏（Border Security Force（Frontier Headquarter BSF Kashmir）のAssistant Sub-Inspector（RM））

2024年10月28日に追加、2025年3月03日に更新

Security

影響：悪意を持って作成されたアプリがルート権限を使ってユーザの承諾なしにキーボード入力と位置情報にアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44123：SecuRingのWojciech Regula氏（wojciechregula.blog）

2024年10月28日に追加

Security Initialization

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-40801：Zhongquan Li氏（@Guluisacat）、Pedro José Pereira Vieito氏（@pvieito）、匿名の研究者

Shortcuts

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-40837：Kirin氏（@Pwnrin）

Shortcuts

影響：ショートカットがユーザの同意なく重要なユーザデータを出力できる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-44158：Kirin氏（@Pwnrin）

Shortcuts

影響：ショートカットによってユーザに表示されるデータをアプリが参照できる可能性がある

説明：一時ファイルの処理を改善することで、プライバシーの問題に対処しました。

CVE-2024-40844：NorthSeaのKirin氏（@Pwnrin）およびluckyu氏（@uuulucky）

Sidecar

影響：Sidecarが有効になっているmacOSデバイスに物理的にアクセスできる攻撃者がロック画面をバイパスできる可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2024-44145：Om Kothawade氏、UNTHSC College of PharmacyのOmar A. Alanis氏

2024年10月28日に追加

Siri

影響：デバイスに物理的にアクセスできる攻撃者が、ロック画面から連絡先の番号を読み取れる可能性がある。

説明：この問題は、ロックされたデバイスで提示されるオプションを制限することで解決されました。

CVE-2024-44179：Bistrit Dahal氏、Matej Moravec氏（@MacejkoMoravec）

2025年3月3日に追加

Siri

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：機微なデータをより安全な場所に移動することで、プライバシーの問題に対処しました。

CVE-2024-44170：K宝氏、LFY氏（@secsys）、Smi1e氏、yulige氏、Cristian Dinca氏（icmd.tech）、Rodolphe BRUNETTI氏（@eisw0lf）

sudo

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-40860：Arsenii Kostromin氏（0x3c3e）

System Settings

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2024-44152：Kirin氏（@Pwnrin）

CVE-2024-44166：Fudan UniversityのKirin氏（@Pwnrin）、LFY氏（@secsys）

System Settings

影響：アプリが任意のファイルを読み取れる可能性がある。

説明：検証を強化して、パスの処理における脆弱性に対処しました。

CVE-2024-44190：Rodolphe BRUNETTI (@eisw0lf)

TCC

影響：アプリが、ユーザの写真ライブラリの写真へのアクセス権を許可するようユーザを誘導できる可能性がある。

説明：プロセス外ビューの処理を改善したことで、クリックジャッキングの問題に対処しました。

CVE-2024-54558：BreakPoint.shのRon Masas氏、匿名の研究者

2025年3月3日に追加

TCC

影響：MDM管理対象のデバイスで、アプリが一部のプライバシーの環境設定を回避する可能性がある。

説明：この問題は、脆弱なコードを削除することで解決されました。

CVE-2024-44133：MicrosoftのJonathan Bar Or氏（@yo_yo_yo_jbo）

Transparency

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44184：Bohdan Stasiuk氏（@Bohdan_Stasiuk）

TV App

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-40859：KandjiのCsaba Fitzl氏（@theevilbit）

2024年10月28日に更新

Vim

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

CVE-2024-41957

WebKit

影響：悪意のあるWebサイトに、データをクロスオリジンで取得される可能性がある。

説明：ステート管理を強化し、Cookie管理の脆弱性に対処しました。

WebKit Bugzilla：287874

CVE-2024-54467：Suma Soft Pvt.のNarendra Bhati氏（Manager of Cyber Security）Ltd.（インド、プネー）のNarendra Bhati氏（twitter.com/imnarendrabhati）

2025年3月3日に追加

WebKit

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：チェックを強化することで、この問題に対処しました。

WebKit Bugzilla：268770

CVE-2024-44192：Tashita Software Security

2025年3月3日に追加

WebKit

影響：悪意を持って作成されたWebコンテンツを処理すると、ユニバーサルクロスサイトスクリプティング攻撃につながるおそれがある。

説明：ステート管理を改善し、この問題に対処しました。

WebKit Bugzilla: 268724

CVE-2024-40857：Ron Masas氏

WebKit

影響：悪意のあるWebサイトにアクセスすると、アドレスバーを偽装される可能性がある。

説明：UIを改善することで、この問題を解決しました。

WebKit Bugzilla：279451

CVE-2024-40866：HakTrakのHafiizh氏とYoKo Kho氏（@yokoacc）

WebKit

影響：悪意のあるWebサイトに、データをクロスオリジンで取得される可能性がある。

説明："iframe" 要素にクロスオリジンの脆弱性がありました。この問題は、セキュリティオリジンの追跡を強化することで解決されました。

WebKit Bugzilla：279452

CVE-2024-44187：Suma Soft Pvt.Ltd.（インド、プネー）のNarendra Bhati氏（twitter.com/imnarendrabhati）

Wi-Fi

影響：アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-44227：Moveworks.aiのTim Michaud氏（@TimGMichaud）

CVE-2024-54546：Antonio Zekic氏（@antoniozekic）、ant4g0nist氏

2025年3月3日に追加

Wi-Fi

影響：特権を持たないユーザが、制限されたネットワーク設定を変更できる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-40770：Yiğit Can YILMAZ氏（@yilmazcanyigit）

Wi-Fi

影響：アプリからサービス運用妨害を受ける可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-23237：Charly Suchanek氏

Wi-Fi

影響：アプリが機微な位置情報を読み取れる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-44134

Wi-Fi

影響：攻撃者が、デバイスを保護されたネットワークから強制的に遮断できる可能性がある。

説明：Beacon Protectionを使って、整合性の問題を解決しました。

CVE-2024-40856：Preet Dsouza氏（Fleming College、Computer Security & Investigations Program）、Domien Schepers氏

2025年3月3日に更新

WindowServer

影響：ロジックに問題があり、ユーザの同意なしにプロセスが画面の内容をキャプチャできる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44189：Tim Clem氏

WindowServer

影響：アプリが一部のプライバシーの環境設定を回避する可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2024-44208：匿名の研究者

2024年10月28日に追加

XProtect

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：環境変数の検証を改善することで、この問題に対処しました。

CVE-2024-40842：Gergely Kalman氏（@gergely_kalman）

XProtect

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-40843：Koh M. Nakagawa氏（@tsunek0h）

ご協力いただいたその他の方々

Admin Framework

KandjiのCsaba Fitzl氏（@theevilbit）のご協力に感謝いたします。

2024年10月28日に更新

AirMac

David Dudok de Wit氏のご協力に感謝いたします。

2024年10月28日に更新

APFS

Georgi Valkov氏（httpstorm.com）のご協力に感謝いたします。

App Store

KandjiのCsaba Fitzl氏（@theevilbit）のご協力に感謝いたします。

2024年10月28日に更新

AppKit

Jamfの@08Tc3wBB氏のご協力に感謝いたします。

Apple Neural Engine

Jiaxun Zhu氏（@svnswords）およびMinghao Lin氏（@Y1nKoc）のご協力に感謝いたします。

Automator

Koh M. Nakagawa氏（@tsunek0h）のご協力に感謝いたします。

Core Bluetooth

Onymos Inc.（onymos.com）のNicholas C.氏のご協力に感謝いたします。

Core Services

"Tudor Vianu" National High School of Computer Science（ルーマニア）のCristian Dinca氏、Kirin氏（@Pwnrin）および7feilee氏、Snoolie Keffaber氏（@0xilis）、Tal Lossos氏、Zhongquan Li氏（@Guluisacat）のご協力に感謝いたします。

CUPS

moein abas氏のご協力に感謝いたします。

2024年10月28日に追加

Disk Utility

KandjiのCsaba Fitzl氏（@theevilbit）のご協力に感謝いたします。

dyld

Pietro Francesco Tirenna氏、Davide Silvetti氏、ShielderのAbdel Adim Oisfi氏（shielder.com）のご協力に感謝いたします。

2024年10月28日に追加

FileProvider

Kirin氏（@Pwnrin）のご協力に感謝いたします。

Foundation

Ostorlabのご協力に感謝いたします。

ImageIO

Junsung Lee氏のご協力に感謝いたします。

2025年3月3日に追加

Kernel

Braxton Anderson氏、PixiePoint SecurityのFakhri Zulkifli氏（@d0lph1n98）のご協力に感謝いたします。

libxpc

Rasmus Sten氏、F-Secure氏（Mastodon：@pajp@blog.dll.nu）のご協力に感謝いたします。

LLVM

アムステルダム大学のVictor Duta氏、カリフォルニア大学サンタバーバラ校のFabio Pagani氏、アムステルダム大学のCristiano Giuffrida氏、およびMarius Muench氏、Fabian Freyer氏のご協力に感謝いたします。

Maps

Kirin氏（@Pwnrin）のご協力に感謝いたします。

Music

databaselog.com/khiemtranのKhiem Tran氏、Fudan UniversityのK宝氏およびLFY@secsys氏、Yiğit Can YILMAZ氏（@yilmazcanyigit）のご協力に感謝いたします。

Notification Center

Kirin氏（@Pwnrin）およびLFYSec氏のご協力に感謝いたします。

2024年10月28日に追加

Notifications

匿名の研究者のご協力に感謝いたします。

PackageKit

KandjiのCsaba Fitzl（@theevilbit）、Mickey Jin氏（@patch1t）、Zhongquan Li氏（@Guluisacat）のご協力に感謝いたします。

2024年10月28日に更新

Passwords

Richard Hyunho Im氏（@r1cheeta）のご協力に感謝いたします。

Photos

Lakshmi Narain College of Technology Bhopal IndiaのAbhay Kailasia氏（@abhay_kailasia）、Harsh Tyagi氏、Kenneth Chew氏、Leandro Chaves氏、Technocrat Institute of Technology BhopalのSaurabh Kumar氏、Shibin B Shaji氏、Vishnu Prasad P G氏、UST氏、Yusuf Kelany氏、Junior Vergara氏のご協力に感謝いたします。

2025年3月3日に更新

Podcasts

Yiğit Can YILMAZ氏（@yilmazcanyigit）のご協力に感謝いたします。

Quick Look

Tencent Security Xuanwu Lab（xlab.tencent.com）のZhipeng Huo氏（@R3dF09）のご協力に感謝いたします。

Safari

Alef Union（alefunion.com）のArthur Csatlós氏、HakTrakのHafiizh氏およびYoKo Kho氏（@yokoacc）、Junsung Lee氏、Shaheen Fazim氏のご協力に感謝いたします。

2025年3月3日に更新

Sandbox

"Tudor Vianu" National High School of Computer Science（ルーマニア）のCristian Dinca氏のご協力に感謝いたします。

2024年10月28日に更新

Screen Capture

Joshua Jewett氏（@JoshJewett33）、Yiğit Can YILMAZ氏（@yilmazcanyigit）、および匿名の研究者のご協力に感謝いたします。

SharePlay

匿名の研究者のご協力に感謝いたします。

2025年3月3日に追加

Shortcuts

"Tudor Vianu" National High School of Computer Science（ルーマニア）のCristian Dinca氏、Jacob Braun氏、匿名の調査者のご協力に感謝いたします。

Siri

Lakshmi Narain College of Technology Bhopal IndiaのAbhay Kailasia氏（@abhay_kailasia）、Rohan Paudel氏、匿名の研究者のご協力に感謝いたします。

2024年10月28日に更新

SystemMigration

Jamey Wicklund氏、Kevin Jansen氏、匿名の調査者のご協力に感謝いたします。

System Settings

Koh M. Nakagawa氏（@tsunek0h）のご協力に感謝いたします。

2025年3月3日に追加

TCC

Noah Gregory氏（wts.dev）、Vaibhav Prajapati氏のご協力に感謝いたします。

Terminal

Koh M. Nakagawa氏（@tsunek0h）のご協力に感謝いたします。

2025年3月3日に追加

UIKit

Andr.Ess氏のご協力に感謝いたします。

Voice Memos

Lisa B氏のご協力に感謝いたします。

WebKit

Oligo SecurityのAvi Lumelsky氏およびUri Katz氏、Braylon氏（@softwarescool）、Eli Grey氏（eligrey.com）、Johan Carlsson氏（joaxcar）、Numan Türle氏 - Rıza Sabuncu氏のご協力に感謝いたします。

2024年10月28日に更新

WindowServer

Felix Kratz氏のご協力に感謝いたします。

2024年10月28日に更新

XprotectFramework

Koh M. Nakagawa氏（@tsunek0h）のご協力に感謝いたします。

2025年3月3日に追加