Zawartość związana z zabezpieczeniami w systemie macOS Sonoma 14.4

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Sonoma 14.4.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Sonoma 14.4

Accessibility

Dostępne dla: systemu macOS Sonoma

Zagrożenie: złośliwa aplikacja może być w stanie obserwować dane użytkownika we wpisach dziennika związanych z powiadomieniami o dostępności.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2024-23291

Admin Framework

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2024-23276: Kirin (@Pwnrin)

Airport

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2024-23227: Brian McNulty

AppKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: nieuprzywilejowana aplikacja może być w stanie rejestrować naciśnięcia klawiszy w innych aplikacjach, w tym w aplikacjach używających trybu bezpiecznego wprowadzania.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2024-27886: Stephan Casas i anonimowy badacz

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Sonoma

Zagrożenie: prawa i uprawnienia dotyczące prywatności przyznane tej aplikacji mogą zostać wykorzystane przez złośliwą aplikację.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2024-23233: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: rozwiązano problem z przechodzeniem na starszą wersję w Macach z procesorem Intel, wprowadzając dodatkowe ograniczenia dotyczące podpisywania kodu.

CVE-2024-23269: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2024-23288: Wojciech Reguła z SecuRing (wojciechregula.blog) i Kirin (@Pwnrin)

Bluetooth

Dostępne dla: systemu macOS Sonoma

Zagrożenie: osoba atakująca znajdująca się na uprzywilejowanej pozycji w sieci może być w stanie wprowadzać naciśnięcia klawiszy, fałszując użycie klawiatury.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-23277: Marc Newlin ze SkySafe

ColorSync

Dostępne dla: systemu macOS Sonoma

Zagrożenie: przetworzenie pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-23247: m4yfly z TianGong Team, Legendsec w Qi’anxin Group

ColorSync

Dostępne dla: systemu macOS Sonoma

Zagrożenie: przetworzenie pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-23248: m4yfly z TianGong Team, Legendsec w Qi'anxin Group

CVE-2024-23249: m4yfly z TianGong Team, Legendsec w Qi'anxin Group

CoreBluetooth – LE

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do mikrofonów połączonych przez Bluetooth bez zgody użytkownika.

Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.

CVE-2024-23250: Guilherme Rambo z Best Buddy Apps (rambo.codes)

Obrazy dysków

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-23299: anonimowy badacz

Dock

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja ze standardowego konta użytkownika może zwiększyć uprawnienia po zalogowaniu się administratora.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2024-23244: Csaba Fitzl (@theevilbit) z Offensive Security

ExtensionKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2024-23205

file

Dostępne dla: systemu macOS Sonoma

Zagrożenie: przetworzenie pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-48554

Find My

Dostępne dla: systemu macOS Sonoma

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do danych aplikacji Lokalizator.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2024-23229: Joshua Jewett (@JoshJewett33)

Foundation

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2024-27789: Mickey Jin (@patch1t)

Image Capture

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do biblioteki zdjęć użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-23253: Mickey Jin (@patch1t)

Image Processing

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-23270: anonimowy badacz

ImageIO

Dostępne dla: systemu macOS Sonoma

Zagrożenie: przetworzenie obrazu może doprowadzić do ujawnienia pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-23257: Junsung Lee w ramach programu Zero Day Initiative firmy Trend Micro

ImageIO

Dostępne dla: systemu macOS Sonoma

Zagrożenie: przetworzenie obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-23258: Zhenjiang Zhao z pangu team, Qianxin oraz Amir Bazine i Karsten König z CrowdStrike Counter Adversary Operations

ImageIO

Dostępne dla: systemu macOS Sonoma

Zagrożenie: przetworzenie obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2024-23286: Junsung Lee w ramach programu Zero Day Initiative firmy Trend Micro, Amir Bazine i Karsten König z CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) oraz Lyutoon i Mr.R

Intel Graphics Driver

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-23234: Murray Mike

Kerberos v5 PAM module

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)

Kernel

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2024-23235

Kernel

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.

CVE-2024-23265: Xinru Chi z Pangu Lab

Kernel

Dostępne dla: systemu macOS Sonoma

Zagrożenie: atakujący mający możliwość dowolnego odczytu i zapisu może być w stanie ominąć zabezpieczenia pamięci jądra. Apple ma świadomość, że problem mógł być wykorzystywany.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2024-23225

libarchive

Dostępne dla: systemu macOS Sonoma

Zagrożenie: złośliwie spreparowane archiwum ZIP może ominąć kontrole funkcji Gatekeeper.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2024-27853: koocola

libxpc

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-23278: anonimowy badacz

libxpc

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z piaskownicy lub z niektórymi podwyższonymi uprawnieniami.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-0258: ali yabuz

MediaRemote

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2024-23279: anonimowy badacz

Messages

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików tymczasowych.

CVE-2024-23287: Kirin (@Pwnrin)

Metal

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2024-23264: Meysam Firouzi @R00tkitSMM w ramach programu Zero Day Initiative firmy Trend Micro

Music

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie tworzyć łącza symboliczne do chronionych obszarów dysku.

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2024-23285: 08Tc3wBB z Jamf

Music

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2024-27809: anonimowy badacz

Notes

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2024-23283

NSSpellChecker

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2024-27887: Mickey Jin (@patch1t)

OpenSSH

Dostępne dla: systemu macOS Sonoma

Zagrożenie: liczne błędy w protokole OpenSSH

Opis: naprawiono liczne błędy przez uaktualnienie protokołu OpenSSH do wersji 9.6.

CVE-2023-48795

CVE-2023-51384

CVE-2023-51385

PackageKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2022-42816: Mickey Jin (@patch1t)

PackageKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie nadpisywać arbitralnie wybrane pliki.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)

PackageKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie ominąć niektóre preferencje dotyczące prywatności.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-23267: Mickey Jin (@patch1t)

PackageKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd dotyczący wstawiania danych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-23268: Mickey Jin (@patch1t), Pedro Tôrres (@t0rr3sp3dr0)

CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)

PackageKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2023-42853: Mickey Jin (@patch1t)

PackageKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2024-23275: Mickey Jin (@patch1t)

PackageKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd uprawnień przez usunięcie kodu związanego z luką w zabezpieczeniach i wprowadzenie dodatkowych procedur sprawdzania.

CVE-2024-27888: Mickey Jin (@patch1t)

Photos

Dostępne dla: systemu macOS Sonoma

Zagrożenie: zdjęcia w albumie Ukryte zdjęcia można przeglądać bez uwierzytelniania.

Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.

CVE-2024-23255: Harsh Tyagi

QuartzCore

Dostępne dla: systemu macOS Sonoma

Zagrożenie: przetworzenie złośliwych danych wejściowych może spowodować wykonanie kodu.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2024-23294: Wojciech Reguła z SecuRing (wojciechregula.blog)

RTKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: atakujący mający możliwość dowolnego odczytu i zapisu może być w stanie ominąć zabezpieczenia pamięci jądra. Apple ma świadomość, że problem mógł być wykorzystywany.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2024-23296

Safari

Dostępne dla: systemu macOS Sonoma

Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-23259: Lyra Rebane (rebane2001)

Safari Private Browsing

Dostępne dla: systemu macOS Sonoma

Zagrożenie: dostęp do kart przeglądania prywatnego można uzyskać bez uwierzytelnienia.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-23273: Matej Rabzelj

Sandbox

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może mieć możliwość edytowania zmiennych pamięci NVRAM.

Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.

CVE-2024-23238

Sandbox

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie ujawnić poufne informacje użytkownika.

Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2024-23290: Wojciech Regula z SecuRing (wojciechregula.blog)

Screen Capture

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie przechwycić ekran użytkownika.

Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików tymczasowych.

CVE-2024-23232: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2024-23231: Kirin (@Pwnrin) i luckyu (@uuulucky)

SharedFileList

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie procedury obsługi plików.

CVE-2024-23230: Mickey Jin (@patch1t)

Shortcuts

Dostępne dla: systemu macOS Sonoma

Zagrożenie: skróty innych firm mogą wykorzystywać starsze działania aplikacji Automator do wysyłania zdarzeń do aplikacji bez zgody użytkownika

Opis: ten błąd rozwiązano przez wprowadzenie dodatkowego monitu o zgodę użytkownika.

CVE-2024-23245: anonimowy badacz

Shortcuts

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do informacji o kontaktach użytkownika.

Opis: ten błąd naprawiono przez ulepszenie ochrony danych.

CVE-2024-23292: K宝 i LFY@secsys z Fudan University

Siri

Dostępne dla: systemu macOS Sonoma

Zagrożenie: osoba z fizycznym dostępem do urządzenia może być w stanie użyć Siri w celu uzyskania dostępu do informacji w kalendarzu prywatnym.

Opis: naprawiono błąd ekranu blokady przez poprawienie procedury zarządzania stanem.

CVE-2024-23289: Lewis Hardy

Siri

Dostępne dla: systemu macOS Sonoma

Zagrożenie: osoba atakująca z fizycznym dostępem może być w stanie użyć Siri w celu uzyskania dostępu do poufnych danych użytkownika

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-23293: Bistrit Dahal

Spotlight

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie ujawnić poufne informacje użytkownika.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-23241

Storage Services

Dostępne dla: systemu macOS Sonoma

Zagrożenie: osoba atakująca może uzyskać dostęp do chronionych części systemu plików.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2024-23272: Mickey Jin (@patch1t)

Synapse

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do danych aplikacji Poczta.

Opis: rozwiązano problem dotyczący prywatności przez nierejestrowanie zawartości pól tekstowych.

CVE-2024-23242

System Settings

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten problem naprawiono przez poprawienie zarządzania stanem.

CVE-2024-23281: Joshua Jewett (@JoshJewett33)

TCC

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd rozwiązano przez wprowadzenie dodatkowego monitu o zgodę użytkownika.

CVE-2024-27792: Mickey Jin (@patch1t)

Time Zone

Dostępne dla: systemu macOS Sonoma

Zagrożenie: osoba atakująca może być w stanie odczytać informacje należące do innego użytkownika.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2024-23261: Matthew Loewen

TV App

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten problem rozwiązano przez usunięcie dodatkowych uprawnień.

CVE-2024-23260: Joshua Jewett (@JoshJewett33)

UIKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2024-23246: Deutsche Telekom Security GmbH sponsorowane przez Bundesamt für Sicherheit in der Informationstechnik

WebKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-23226: Pwn2car

WebKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: złośliwie spreparowana witryna internetowa może skrycie wyprowadzać dane audio między różnymi źródłami.

Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: naprawiono błąd dotyczący wstawiania danych przez poprawienie procedury sprawdzania poprawności.

CVE-2024-23280: anonimowy badacz

WebKit

Dostępne dla: systemu macOS Sonoma

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2024-23284: Georg Felber i Marco Squarcina

Dodatkowe podziękowania

AppKit

Dziękujemy za udzieloną pomoc: Stephan Casas i anonimowy badacz.

CoreAnimation

Dziękujemy za udzieloną pomoc: Junsung Lee.

CoreMotion

Dziękujemy za udzieloną pomoc: Eric Dorphy z Twin Cities App Dev LLC.

Endpoint Security

Dziękujemy za udzieloną pomoc: Matthew White.

Find My

Dziękujemy za udzieloną pomoc: Meng Zhang (鲸落) z NorthSea.

Kernel

Dziękujemy za udzieloną pomoc: Tarek Joumaa (@tjkr0wn) i 이준성(Junsung Lee).

libxml2

Dziękujemy za udzieloną pomoc: OSS-Fuzz i Ned Williamson z Google Project Zero.

libxpc

Dziękujemy za udzieloną pomoc: Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) i anonimowy badacz.

Model I/O

Dziękujemy za udzieloną pomoc: Junsung Lee.

Photos

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal.

Power Management

Dziękujemy za udzieloną pomoc: Pan ZhenPeng (@Peterpan0927) z STAR Labs SG Pte. Ltd.

Safari

Dziękujemy za udzieloną pomoc: Abhinav Saraswat, Matthew C i 이동하 (Lee Dong Ha z ZeroPointer Lab).

Sandbox

Dziękujemy za udzieloną pomoc: Wojciech Regula z SecuRing (wojciechregula.blog) i Zhongquan Li (@Guluisacat).

SharedFileList

Dziękujemy za udzieloną pomoc: Phil Schneider z Canva.

Shortcuts

Dziękujemy za udzieloną pomoc: Yusuf Kelany.

Siri

Dziękujemy za udzieloną pomoc: Bistrit Dahal.

Storage Driver

Dziękujemy za udzieloną pomoc: Liang Wei z PixiePoint Security.

SystemMigration

Dziękujemy za udzieloną pomoc: Eugene Gershnik.

TCC

Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).

WebKit

Dziękujemy za udzieloną pomoc: Nan Wang (@eternalsakura13) z 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina i Lorenzo Veronese z TU Wien.