Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
macOS Sonoma 14.3
Wydano 22 stycznia 2024 r.
Apple Neural Engine
Dostępne dla: systemu macOS Sonoma
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-23212: Ye Zhang z Baidu Security
CoreCrypto
Dostępne dla: systemu macOS Sonoma
Zagrożenie: osoba atakująca może być w stanie odszyfrować starsze teksty zaszyfrowane zgodnie ze standardem RSA PKCS#1 v1.5 bez znajomości klucza prywatnego.
Opis: naprawiono błąd związany z taktowaniem kanału bocznego przez ulepszenia obliczeń czasu stałego w funkcjach kryptograficznych.
CVE-2024-23218: Clemens Lang
Finder
Dostępne dla: systemu macOS Sonoma
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-23224: Brian McNulty
Kernel
Dostępne dla: systemu macOS Sonoma
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-23208: fmyy(@binary_fmyy) i lime z zespołu TIANGONG Team of Legendsec grupy QI-ANXIN Group
libxpc
Dostępne dla: systemu macOS Sonoma
Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2024-23201: Koh M. Nakagawa z FFRI Security, Inc. i anonimowy badacz
Wpis dodano 7 marca 2024 r.
LLVM
Dostępne dla: systemu macOS Sonoma
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-23209
Mail Search
Dostępne dla: systemu macOS Sonoma
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2024-23207: Noah Roskin-Frazee, Prof. J. (ZeroClicks.ai Lab) oraz Ian de Marcellus
NSSpellChecker
Dostępne dla: systemu macOS Sonoma
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików.
CVE-2024-23223: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Power Manager
Dostępne dla: systemu macOS Sonoma
Zagrożenie: aplikacja może być w stanie uszkodzić pamięć koprocesora.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.
Wpis dodano 24 kwietnia 2024 r.
Safari
Dostępne dla: systemu macOS Sonoma
Zagrożenie: aktywność użytkownika realizowana w trybie przeglądania prywatnego może być widoczna w Ustawieniach.
Opis: problem dotyczący prywatności rozwiązano przez poprawienie obsługi preferencji użytkownika.
CVE-2024-23211: Mark Bowers
Shortcuts
Dostępne dla: systemu macOS Sonoma
Zagrożenie: skrót może używać poufnych danych do wykonywania pewnych czynności bez monitowania użytkownika.
Opis: błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania uprawnień.
CVE-2024-23203: anonimowy badacz
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Dostępne dla: systemu macOS Sonoma
Zagrożenie: aplikacja może być w stanie ominąć niektóre preferencje dotyczące prywatności.
Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików tymczasowych.
CVE-2024-23217: Kirin (@Pwnrin)
TCC
Dostępne dla: systemu macOS Sonoma
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem przez ulepszenie obsługi plików tymczasowych.
CVE-2024-23215: Zhongquan Li (@Guluisacat)
Time Zone
Dostępne dla: systemu macOS Sonoma
Zagrożenie: aplikacja może być w stanie wyświetlić numer telefonu użytkownika w dziennikach systemowych.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2024-23210: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
WebKit
Dostępne dla: systemu macOS Sonoma
Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.
WebKit Bugzilla: 262699
CVE-2024-23206: anonimowy badacz
WebKit
Dostępne dla: systemu macOS Sonoma
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 266619
CVE-2024-23213: Wangtaiyu z Zhongfu info
WebKit
Dostępne dla: systemu macOS Sonoma
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 265129
CVE-2024-23214: Nan Wang (@eternalsakura13) z 360 Vulnerability Research Institute
WebKit
Dostępne dla: systemu macOS Sonoma
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu. Apple ma świadomość, że problem mógł być wykorzystywany.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.
WebKit Bugzilla: 267134
CVE-2024-23222
WebKit
Dostępne dla: systemu macOS Sonoma
Zagrożenie: złośliwie spreparowana witryna internetowa może powodować nieoczekiwane działanie związane z obsługą zewnętrznych źródeł.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
WebKit Bugzilla: 265812
CVE-2024-23271: James Lee (@Windowsrcer)
Wpis dodano 24 kwietnia 2024 r.
Dodatkowe podziękowania
NetworkExtension
Dziękujemy za udzieloną pomoc: Nils Rollshausen.
Wpis dodano 24 kwietnia 2024 r.