macOS Sonoma 14.7のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2024年9月16日リリース
対象OS:macOS Sonoma
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:アクセス権のロジックを改善することで、この問題を解決しました。
CVE-2024-44153:Mickey Jin氏(@patch1t)
対象OS:macOS Sonoma
影響:ショートカットが別のアプリを起動できない場合、アプリが機微なデータにアクセスできる可能性がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2024-44182:Kirin氏(@Pwnrin)
対象OS:macOS Sonoma
影響:悪意を持って作成されたビデオファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-40846:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
CVE-2024-40845:Trend Micro Zero Day Initiativeに協力するPwn2car氏
対象OS:macOS Sonoma
影響:悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:メモリ処理を強化し、メモリ初期化の脆弱性に対処しました。
CVE-2024-44154:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
対象OS:macOS Sonoma
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:コード署名の制限を追加で設けて問題に対処しました。
CVE-2024-40847:Mickey Jin氏(@patch1t)
対象OS:macOS Sonoma
影響:アプリがプライバシーの環境設定を回避する可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2024-44164:Mickey Jin氏(@patch1t)
対象OS:macOS Sonoma
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:制限を強化し、ライブラリのインジェクションの問題に対処しました。
CVE-2024-44168:Cisco TalosのClaudio Bozzato氏およびFrancesco Benvenuto氏
対象OS:macOS Sonoma
影響:攻撃者に機微情報を読み取られる可能性がある。
説明:コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。
CVE-2024-40848:Mickey Jin氏(@patch1t)
対象OS:macOS Sonoma
影響:悪意を持って作成されたビデオファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。
CVE-2024-40841:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
対象OS:macOS Sonoma
影響:アプリが、アプリのサンドボックスコンテナ内の保護されたファイルにアクセスできる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2024-44135:Mickey Jin氏(@patch1t)
対象OS:macOS Sonoma
影響:悪意を持って作成されたファイルを処理すると、ヒープ破損が起きる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-44126:Holger Fuhrmannek氏
2024年10月28日に追加
対象OS:macOS Sonoma
影響:Automatorのクイックアクションワークフローは、Gatekeeperを回避できる可能性がある。
説明:ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。
CVE-2024-44128:Anton Boegler氏
対象OS:macOS Sonoma
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2024-44151:Mickey Jin氏(@patch1t)
対象OS:macOS Sonoma
影響:悪意を持って作成されたアーカイブのパックを解除すると、攻撃者が任意のファイルを書き込めるようになる可能性がある。
説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。
CVE-2024-27876:Snoolie Keffaber氏(@0xilis)
対象OS:macOS Sonoma
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:機微なデータを削除することで、プライバシーの問題に対処しました。
CVE-2024-44177:匿名の調査者
対象OS:macOS Sonoma
影響:ローカルユーザにより、重要なユーザ情報が漏洩される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54469:KandjiのCsaba Fitzl氏(@theevilbit)
2025年3月3日に追加
対象OS:macOS Sonoma
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:入力検証を強化して、ファイルへのアクセスの問題に対処しました。
CVE-2024-40850:Denis Tokarev(@illusionofcha0s)氏
対象OS:macOS Sonoma
影響:悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:入力検証を強化して、領域外読み込みの脆弱性に対処しました。
CVE-2024-27880:Junsung Lee氏
対象OS:macOS Sonoma
影響:画像を処理すると、サービス運用妨害を受ける可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2024-44176: Trend Micro Zero Day Initiativeに協力するZeroPointer Labのdw0r氏、匿名の研究者
対象OS:macOS Sonoma
影響:悪意を持って作成されたテクスチャを処理すると、アプリが予期せず終了する可能性がある。
説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。
CVE-2024-44160:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
対象OS:macOS Sonoma
影響:悪意を持って作成されたテクスチャを処理すると、アプリが予期せず終了する可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2024-44161:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
対象OS:macOS Sonoma
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-44169:Antonio Zekić 氏
対象OS:macOS Sonoma
影響:ネットワークトラフィックがVPNトンネル外に流出する可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-44165:Andrew Lytvynov氏
対象OS:macOS Sonoma
影響:アプリがユーザの連絡先に関する情報にアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2024-40791:Rodolphe BRUNETTI氏(@eisw0lf)
対象OS:macOS Sonoma
影響:アプリが機微な位置情報を読み取れる可能性がある。
説明:一時ファイルの処理を改善することで、問題に対処しました。
CVE-2024-44181:Fudan UniversityのKirin氏(@Pwnrin)、LFY氏(@secsys)
対象OS:macOS Sonoma
影響:アプリからサービス運用妨害を受ける可能性がある。
説明:ファイル処理を改善し、ロジックの問題に対処しました。
CVE-2024-44183:Olivier Levon氏
対象OS:macOS Sonoma
影響:アプリが任意のファイルに上書きできる可能性がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
CVE-2024-44167:ajajfxhj氏
対象OS:macOS Sonoma
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:シンボリックリンクの検証を改善することで、この問題に対処しました。
CVE-2024-44178:Mickey Jin氏(@patch1t)
対象OS:macOS Sonoma
影響:悪意のあるWebサイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2024-40797:Rifa'i Rejal Maynando氏
対象OS:macOS Sonoma
影響:悪意のあるアプリケーションに、非公開の情報にアクセスされる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-44163:Zhongquan Li氏(@Guluisacat)
対象OS:macOS Sonoma
影響:悪意のあるアプリケーションにより、機微なユーザ情報が漏洩する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-44125:Zhongquan Li氏(@Guluisacat)
対象OS:macOS Sonoma
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2024-40801:Zhongquan Li氏(@Guluisacat)、Pedro José Pereira Vieito氏(@pvieito)、匿名の研究者
対象OS:macOS Sonoma
影響:ショートカットがユーザの同意なく重要なユーザデータを出力できる可能性がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2024-44158:Kirin氏(@Pwnrin)
対象OS:macOS Sonoma
影響:ショートカットによってユーザに表示されるデータをアプリが参照できる可能性がある
説明:一時ファイルの処理を改善することで、プライバシーの問題に対処しました。
CVE-2024-40844:NorthSeaのKirin氏(@Pwnrin)およびluckyu氏(@uuulucky)
対象OS:macOS Sonoma
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-40860:Arsenii Kostromin氏(0x3c3e)
対象OS:macOS Sonoma
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2024-44166:Fudan UniversityのKirin氏(@Pwnrin)、LFY氏(@secsys)
対象OS:macOS Sonoma
影響:アプリが任意のファイルを読み取れる可能性がある。
説明:検証を強化して、パスの処理における脆弱性に対処しました。
CVE-2024-44190:Rodolphe BRUNETTI (@eisw0lf)
対象OS:macOS Sonoma
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2024-44184:Bohdan Stasiuk氏(@Bohdan_Stasiuk)
David Dudok de Wit氏のご協力に感謝いたします。