Apple セキュリティアップデートについて
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。
Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。
セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。
macOS Sonoma 14.5
2024 年 5 月 13 日リリース
AppleAVD
対象 OS:macOS Sonoma
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-27804:Meysam Firouzi 氏 (@R00tkitSMM)
2024 年 5 月 15 日に更新
AppleMobileFileIntegrity
対象 OS:macOS Sonoma
影響:ローカルの攻撃者が、キーチェーン項目にアクセスする可能性がある。
説明:コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。
CVE-2024-27837:Mickey Jin 氏 (@patch1t) および ajajfxhj 氏
AppleMobileFileIntegrity
対象 OS:macOS Sonoma
影響:攻撃者がユーザデータにアクセスできる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-27816:Mickey Jin 氏 (@patch1t)
AppleMobileFileIntegrity
対象 OS:macOS Sonoma
影響:アプリが一部のプライバシーの環境設定を回避する可能性がある。
説明:Intel 搭載モデルの Mac コンピュータでダウングレードの問題が起きていましたが、コード署名の制限を追加することで対処しました。
CVE-2024-27825:Kirin 氏 (@Pwnrin)
AppleVA
対象 OS:macOS Sonoma
影響:ファイルを処理すると、アプリが予期せず終了したり、任意のコードが実行される可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-27829:CrowdStrike Counter Adversary Operations の Amir Bazine 氏および Karsten König 氏、Trend Micro の Zero Day Initiative に協力する Pwn2car 氏
AVEVideoEncoder
対象 OS:macOS Sonoma
影響:アプリがカーネルメモリを漏洩させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-27841::匿名の研究者
CFNetwork
対象 OS:macOS Sonoma
影響:アプリが任意のファイルを読み取れる可能性がある。
説明:チェックを改善して、精度の問題に対処しました。
CVE-2024-23236:Imperva の Ron Masas 氏
Finder
対象 OS:macOS Sonoma
影響:アプリが任意のファイルを読み取れる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2024-27827:匿名の研究者
Kernel
対象 OS:macOS Sonoma
影響:攻撃者がアプリを予期せず終了させたり、任意のコードを実行させたりする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-27818:Ant Security Light-Year Lab の pattern-f 氏 (@pattern_F_)
Libsystem
対象 OS:macOS Sonoma
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:脆弱なコードを削除し、追加のチェックを設けることで、アクセス許可の問題に対処しました。
CVE-2023-42893:匿名の研究者
Maps
対象 OS:macOS Sonoma
影響:アプリが機微な位置情報を読み取れる可能性がある。
説明:検証を強化して、パスの処理における脆弱性に対処しました。
CVE-2024-27810:Fudan University の LFY@secsys 氏
PackageKit
対象 OS:macOS Sonoma
影響:アプリがルート権限を取得できる可能性がある。
説明:制限を強化し、ロジックの脆弱性に対処しました。
CVE-2024-27822:Scott Johnson 氏、RIPEDA Consulting の Mykola Grymalyuk 氏、Jordy Witteman 氏、Carlos Polop 氏
PackageKit
対象 OS:macOS Sonoma
影響:アプリが権限を昇格させることが可能な場合がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
CVE-2024-27824:Pedro Tôrres 氏 (@t0rr3sp3dr0)
PrintCenter
対象 OS:macOS Sonoma
影響:アプリがサンドボックスの外部で、または昇格した特定の権限で任意のコードを実行できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-27813:匿名の研究者
RemoteViewServices
対象 OS:macOS Sonoma
影響:攻撃者がユーザデータにアクセスできる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-27816:Mickey Jin 氏 (@patch1t)
SharedFileList
対象 OS:macOS Sonoma
影響:アプリが権限を昇格させることが可能な場合がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-27843:Mickey Jin 氏 (@patch1t)
Shortcuts
対象 OS:macOS Sonoma
影響:ショートカットがユーザの同意なく重要なユーザデータを出力できる可能性がある。
説明:検証を強化して、パスの処理における脆弱性に対処しました。
CVE-2024-27821:Kirin 氏 (@Pwnrin)、zbleet 氏、Kandji の Csaba Fitzl (@theevilbit)
StorageKit
対象 OS:macOS Sonoma
影響:攻撃者が権限を昇格できる場合がある。
説明:ステート管理を改善し、認証の脆弱性に対処しました。
CVE-2024-27798:Alter Solutions の Yann GASCUEL 氏
Sync Services
対象 OS:macOS Sonoma
影響:アプリがプライバシーの環境設定を回避する可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2024-27847:Mickey Jin 氏 (@patch1t)
UDF
対象 OS:macOS Sonoma
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-27842:CertiK SkyFall Team
Voice Control
対象 OS:macOS Sonoma
影響:攻撃者が権限を昇格できる場合がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-27796:ajajfxhj 氏
WebKit
対象 OS:macOS Sonoma
影響:任意の読み書き権限を持つ攻撃者が、ポインタ認証を回避できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:272750
CVE-2024-27834:Trend Micro の Zero Day Initiative に協力する Manfred Paul 氏 (@_manfp)
ご協力いただいたその他の方々
App Store
匿名の研究者のご協力に感謝いたします。
CoreHAP
Adrian Cable 氏のご協力に感謝いたします。
HearingCore
匿名の研究者のご協力に感謝いたします。
Managed Configuration
遥遥领先 氏 (@晴天组织) のご協力に感謝いたします。
Music
匿名の研究者のご協力に感謝いたします。
PackageKit
Mickey Jin 氏 (@patch1t) のご協力に感謝いたします。
Safari Downloads
Arsenii Kostromin 氏 (0x3c3e) のご協力に感謝いたします。