macOS Sequoia 15.2のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2024年12月11日リリース
対象OS:macOS Sequoia
影響:非表示の写真アルバムの写真が認証なしで表示される可能性がある。
説明:ファイル処理を改善し、ロジックの問題に対処しました。
CVE-2024-54488:Benjamin Hornbeck氏、Skadz氏(@skadz108)、ZUSO ARTおよびtaikosoupのChi Yuan Chang氏
2025年1月27日に追加
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2024-54541:Arsenii Kostromin氏(0x3c3e)および匿名の研究者
2025年1月27日に追加
対象OS:macOS Sequoia
影響:ネットワーク上の特権的な地位を悪用した攻撃者に、ユーザのアクティビティを追跡される可能性がある。
説明:プロトコルの処理を改善することで、この問題に対処しました。
CVE-2024-40864:SecuRingのWojciech Regula氏(wojciechregula.blog)
2025年4月2日に追加
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54477:Mickey Jin氏(@patch1t)、KandjiのCsaba Fitzl氏(@theevilbit)
対象OS:macOS Sequoia
影響:悪意を持って作成されたビデオファイルを解析すると、予期せずシステムが終了する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-44220:D4m0n氏
対象OS:macOS Sequoia
影響:悪意のあるアプリに、非公開の情報にアクセスされる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54526:Mickey Jin氏(@patch1t)、Arsenii Kostromin氏(0x3c3e)
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2024-54527:Mickey Jin氏(@patch1t)
対象OS:macOS Sequoia
影響:ローカルの攻撃者が、ユーザのキーチェーン項目にアクセスできる可能性がある。
説明:Hardened Runtimeを有効にして、この問題に対処しました。
CVE-2024-54490:Mickey Jin氏(@patch1t)
対象OS:macOS Sequoia
影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。
説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。
CVE-2024-54509:CertiK SkyFall Team
2025年1月27日に追加
対象OS:macOS Sequoia
影響:悪意を持って作成されたファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-54568:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
2025年8月28日に追加
対象OS:macOS Sequoia
影響:アプリがサンドボックスの外部で、または昇格した特定の権限で任意のコードを実行できる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-54529:Google Project Zeroに協力するDillon Franke氏
2025年5月28日に更新
対象OS:macOS Sequoia
影響:「メッセージ」や「メール」から自動入力されたシステムログの連絡先情報をアプリが表示できる可能性がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2024-54550:Smi1e氏(@Smi1eSEC)
2025年1月27日に追加
対象OS:macOS Sequoia
影響:アプリが、通知なしに画面を録画できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-44271:匿名の研究者
2025年8月28日に追加
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2024-54513:匿名の研究者
対象OS:macOS Sequoia
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:ファイル処理を改善し、ロジックの問題に対処しました。
CVE-2024-44300:匿名の研究者
対象OS:macOS Sequoia
影響:暗号化されたボリュームに別のユーザがアクセスできる可能性があり、その際にパスワードの入力画面が表示されない。
説明:ステート管理を改善し、認証の脆弱性に対処しました。
CVE-2024-54466:Michael Cohen氏
対象OS:macOS Sequoia
影響:mountコマンドを実行すると、任意のコードが予期せず実行される可能性がある。
説明:検証を強化して、パスの処理における脆弱性に対処しました。
CVE-2024-54489:CrowdStrikeのD’Angelo Gonzalez氏
対象OS:macOS Sequoia
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54547:Lupus NovaのRodolphe BRUNETTI氏(@eisw0lf)
2025年1月27日に追加
対象OS:macOS Sequoia
影響:アプリが機微な位置情報を読み取れる可能性がある。
説明:ログをサニタイズすることで、この問題に対処しました。
CVE-2024-54519:Kirin氏(@Pwnrin)および7feilee氏
2025年1月27日に追加
対象OS:macOS Sequoia
影響:悪意を持って作成されたフォントを処理すると、プロセスメモリが漏洩する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54486:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象OS:macOS Sequoia
影響:悪意のあるアプリがルート権限を取得できる可能性がある。
説明:ファイル処理を改善し、ロジックの問題に対処しました。
CVE-2024-44291:Arsenii Kostromin氏(0x3c3e)
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2024-54478:Gary Kwong氏
2025年1月27日に追加
対象OS:macOS Sequoia
影響:悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2024-54499:Trend Micro Zero Day Initiativeに協力する匿名の研究者
2025年1月27日に追加
対象OS:macOS Sequoia
影響:悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54500:Trend Micro Zero Day Initiativeに協力するJunsung Lee氏
対象OS:macOS Sequoia
影響:アプリがコプロセッサメモリを破損できる可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
CVE-2024-54517:Baidu SecurityのYe Zhang氏(@VAR10CK)
CVE-2024-54518:Baidu SecurityのYe Zhang氏(@VAR10CK)
CVE-2024-54522:Baidu SecurityのYe Zhang氏(@VAR10CK)
CVE-2024-54523:Baidu SecurityのYe Zhang氏(@VAR10CK)
2025年1月27日に追加
対象OS:macOS Sequoia
影響:攻撃者によってシステムを予期せず終了されたり、DCPファームウェアで任意のコードを実行される可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2024-54506:Baidu SecurityのYe Zhang氏(@VAR10CK)
対象OS:macOS Sequoia
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54468:匿名の研究者
2025年1月27日に追加
対象OS:macOS Sequoia
影響:攻撃者がユーザ権限でカーネルメモリを読み取れる可能性がある。
説明:メモリ処理を強化し、型の取り違え(type confusion)の脆弱性に対処しました。
CVE-2024-54507:MIT CSAILのJoseph Ravichandran氏(@0xjprx)
2025年1月27日に追加
対象OS:macOS Sequoia
影響:攻撃者が、読み取り専用のメモリマッピングを書き込み可能なものに改ざんできる可能性がある。
説明:検証を追加することで、競合状態に対処しました。
CVE-2024-54494:sohybbyk氏
対象OS:macOS Sequoia
影響:アプリが重要なカーネル状態を漏洩させる可能性がある。
説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。
CVE-2024-54510:MIT CSAILのJoseph Ravichandran氏(@0xjprx)
対象OS:macOS Sequoia
影響:アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-44245:匿名の研究者
対象OS:macOS Sequoia
影響:アプリがkASLRを回避する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-54531:Hyerean Jang氏、Taehun Kim氏、Youngjoo Shin氏
対象OS:macOS Sequoia
影響:アプリが権限を昇格させることが可能な場合がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2024-54465:匿名の研究者
対象OS:macOS Sequoia
影響:リモートの攻撃者により、アプリを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2024-45490
対象OS:macOS Sequoia
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54514:匿名の研究者
対象OS:macOS Sequoia
影響:アプリに昇格した権限を取得される可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-44225:风沐云烟氏(@binary_fmyy)
対象OS:macOS Sequoia
影響:悪意のあるアプリケーションが、ユーザの現在地を判断できる可能性がある。
説明:ログをサニタイズすることで、この問題に対処しました。
CVE-2024-54491:Kirin氏(@Pwnrin)
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ログをサニタイズすることで、この問題に対処しました。
CVE-2024-54484:NorthSeaのMeng Zhang氏(鲸落)
対象OS:macOS Sequoia
影響:悪意を持って作成されたバックアップファイルを復元すると、保護されているシステムファイルが変更される可能性がある。
説明:ファイル処理を改善し、ロジックの問題に対処しました。
CVE-2024-54525:Andrew James Gonzalez氏、Dragon Fruit Security(Davis Dai氏、ORAC 落云氏、Frank Du氏による共同発見)
2025年3月17日に追加
対象OS:macOS Sequoia
影響:アプリがNVRAM変数を編集できる可能性がある。
説明:環境変数の検証を改善することで、この問題に対処しました。
CVE-2024-54536:Cisco TalosのClaudio Bozzato氏およびFrancesco Benvenuto氏
2025年1月27日に追加
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2024-54504:神罚氏(@Pwnrin)
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54474:Mickey Jin氏(@patch1t)
CVE-2024-54476:Mickey Jin氏(@patch1t)、Bohdan Stasiuk氏(@Bohdan_Stasiuk)
対象OS:macOS Sequoia
影響:認証に失敗した後、「パスワードの自動入力」によってパスワードが入力される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54530:C-DAC(インド、ティルヴァナンタプラム)のAbhay Kailasia氏(@abhay_kailasia)、Rakeshkumar Talaviya氏、Tomomasa Hiraiwa氏
2025年1月27日に追加、2025年3月17日に更新
対象OS:macOS Sequoia
影響:ネットワーク上で特権的な地位を利用した攻撃者に、ネットワークトラフィックを改ざんされる可能性がある。
説明:ネットワークで情報を送信する際はHTTPSを利用することで、この問題に対処しました。
CVE-2024-54492:Mysk Inc.(@mysk_co)のTalal Haj Bakry氏およびTommy Mysk氏
対象OS:macOS Sequoia
影響:Perlに複数の脆弱性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2016-1246
CVE-2023-31484
CVE-2023-31486
CVE-2023-47100
2025年8月28日に追加
対象OS:macOS Sequoia
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2023-32395:Arsenii Kostromin氏(0x3c3e)
対象OS:macOS Sequoia
影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54497:Trend Micro Zero Day Initiativeに協力する匿名の研究者
2025年1月27日に追加
対象OS:macOS Sequoia
影響:アプリがそのサンドボックスの外側にあるファイルを読み取り/書き込みできる可能性がある。
説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。
CVE-2024-54537:Mickey Jin氏(@patch1t)
2025年1月27日に追加
対象OS:macOS Sequoia
影響:プライベートリレーが有効になっているデバイスでSafariリーディングリストにWebサイトを追加すると、発信元IPアドレスがWebサイトに漏洩する可能性がある。
説明:Safariからのリクエストのルーティングを強化することで、この問題に対処しました。
CVE-2024-44246:Jacob Braun氏
対象OS:macOS Sequoia
影響:プライベートブラウズのタブに、認証されないままアクセスできる可能性がある。
説明:ステート管理を改善し、認証の脆弱性に対処しました。
CVE-2024-54542:Rei氏(@reizydev)、Kenneth Chew氏
2025年1月27日に追加
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54559:Zhongquan Li氏(@Guluisacat)および匿名の研究者
2025年3月17日に追加、2025年8月28日に更新
対象OS:macOS Sequoia
影響:悪意を持って作成されたファイルを処理すると、サービス運用妨害を受ける可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54501:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
対象OS:macOS Sequoia
影響:攻撃者がファイルシステムの保護された部分へのアクセス権を取得できる可能性がある。
説明:制限を強化し、ロジックの脆弱性に対処しました。
CVE-2024-54557:匿名の研究者
2025年1月27日に追加
対象OS:macOS Sequoia
影響:アプリがユーザの承諾なしに起動デーモンにアクセスできる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2024-54516:Arsenii Kostromin氏(0x3c3e)および匿名の研究者
2025年1月27日に追加
対象OS:macOS Sequoia
影響:悪意のあるアプリがルート権限を取得できる可能性がある。
説明:制限を強化し、ロジックの脆弱性に対処しました。
CVE-2024-54515:匿名の研究者
対象OS:macOS Sequoia
影響:アプリが任意のファイルに上書きできる可能性がある。
説明:制限を強化し、ロジックの脆弱性に対処しました。
CVE-2024-54528:匿名の研究者
対象OS:macOS Sequoia
影響:悪意のあるアプリが任意のファイルにアクセスできる可能性がある。
説明:ファイル処理を改善し、ロジックの問題に対処しました。
CVE-2024-54524:匿名の研究者
対象OS:macOS Sequoia
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:検証を強化して、パスの処理における脆弱性に対処しました。
CVE-2024-54498:匿名の研究者
対象OS:macOS Sequoia
影響:マイクへのアクセスに関するプライバシーインジケータが誤って表示される可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2024-54493:Yokesh Muthu K氏
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:サンドボックスの制限を強化し、アクセス権の問題に対処しました。
CVE-2024-54533:OffSecのCsaba Fitzl氏(@theevilbit)
2025年4月2日に追加
対象OS:macOS Sequoia
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:制限を強化し、構成の問題に対処しました。
CVE-2024-44243:Mickey Jin氏(@patch1t)、MicrosoftのJonathan Bar Or氏(@yo_yo_yo_jbo)
対象OS:macOS Sequoia
影響:悪意のあるアプリがルート権限を取得できる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2024-44224:Amy氏(@asentientbot)
対象OS:macOS Sequoia
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:アクセス権のロジックを改善することで、この問題を解決しました。
CVE-2024-54495:Cisco TalosのClaudio Bozzato氏およびFrancesco Benvenuto氏、Arsenii Kostromin氏(0x3c3e)
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2024-54549:Kirin氏(@Pwnrin)
2025年1月27日に追加
対象OS:macOS Sequoia
影響:アプリがユーザの位置情報を判断できる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2024-54475:Kirin氏(@Pwnrin)
2025年1月27日に追加
対象OS:macOS Sequoia
影響:アプリが任意のファイルに上書きできる可能性がある。
説明:検証を強化して、パスの処理における脆弱性に対処しました。
CVE-2024-54520:Rodolphe BRUNETTI氏(@eisw0lf)
2025年1月27日に追加
対象OS:macOS Sequoia
影響:悪意を持って作成されたファイルを処理すると、ヒープ破損が起きる可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを確認してください。
CVE-2024-45306
2025年1月27日に追加
対象OS:macOS Sequoia
影響:iOSデバイスに物理的にアクセスできる攻撃者がロック画面で通知の内容を表示できる可能性がある。
説明:追加ロジックを追加することで、この問題に対処しました。
CVE-2024-54485:C-DAC(インド、ティルヴァナンタプラム)のAbhay Kailasia氏(@abhay_kailasia)
2025年1月27日に追加
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:278497
CVE-2024-54479:Seunghyun Lee氏
WebKit Bugzilla:281912
CVE-2024-54502:Google Project ZeroのBrendon Tiszka氏
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:282180
CVE-2024-54508:HKUS3Labのlinjy氏およびWHUSecLabのchluo氏、Tencent Security YUNDING LABのXiangwei Zhang氏
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:メモリ処理を強化し、型の取り違え(type confusion)の脆弱性に対処しました。
WebKit Bugzilla:282661
CVE-2024-54505:Gary Kwong氏
対象OS:macOS Sequoia
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:277967
CVE-2024-54534:Tashita Software Security
WebKit Bugzilla:282450
CVE-2024-54543:Lukas Bernhard氏、Gary Kwong氏、および匿名の研究者
2025年1月27日に追加
対象OS:macOS Sequoia
影響:アプリがロック画面からキーボードイベントを取り込める可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2024-54539:PolitepixのHalle Winkler氏(theoffcuts.org)、およびTrent氏(@lathiat Lloyd)
2025年1月27日に追加
対象OS:macOS Sequoia
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54565:Mickey Jin氏(@patch1t)
2025年3月17日に追加
Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)のご協力に感謝いたします。
Sophie Winter氏のご協力に感謝いたします。
2025年3月17日に追加
evilsocket氏のご協力に感謝いたします。
椰椰 氏のご協力に感謝いたします。
Joshua Pellecchia氏のご協力に感謝いたします。
Kunlun LabのZweig氏のご協力に感謝いたします。
Shaheen Fazim氏のご協力に感謝いたします。
ZUSO ARTおよびtaikosoupのChi Yuan Chang氏のご協力に感謝いたします。
ジョージ・メイソン大学のJunming C.氏(@Chapoly1305)およびQiang Zeng教授のご協力に感謝いたします。
Jaydev Ahire氏のご協力に感謝いたします。
Route Zero SecurityのRichard Hyunho Im氏(@richeeta)氏のご協力に感謝いたします。
ByteDanceのIES Red Teamのご協力に感謝いたします。
Bistrit Dahal氏のご協力に感謝いたします。
2025年1月27日に追加
Marc Schoenefeld理学博士のご協力に感謝いたします。
Hafiizh氏のご協力に感謝いたします。
Felix Kratz氏のご協力に感謝いたします。