Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Sonoma 14.5
Lansare: 13 mai 2024
AppleAVD
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Actualizare intrare: 15 mai 2024
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Sonoma
Impact: un atacator local poate obține acces la articole din Portchei.
Descriere: o problemă de downgrade a fost rezolvată cu restricții suplimentare pentru semnarea codului.
CVE-2024-27837: Mickey Jin (@patch1t) și ajajfxhj
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Sonoma
Impact: un atacator poate fi capabil să acceseze date de acces ale utilizatorului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-27816: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate să ocolească anumite preferințe de confidențialitate
Descriere: o problemă de downgrade care afectează computerele Mac cu procesor Intel a fost rezolvată prin restricții suplimentare pentru semnarea codului.
CVE-2024-27825: Kirin (@Pwnrin)
AppleVA
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27829: Amir Bazine și Karsten König de la CrowdStrike Counter Adversary Operations și Pwn2car în colaborare cu Trend Micro Zero Day Initiative
AVEVideoEncoder
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27841: un cercetător anonim
CFNetwork
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate citi fișiere arbitrare
Descriere: o problemă de corectitudine a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-23236: Ron Masas (Imperva)
Core Data
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă prin îmbunătățirea validării variabilelor de mediu.
CVE-2024-27805: Kirin (@Pwnrin) și 小来来 (@Smi1eSEC)
Adăugare intrare: luni, 10 iunie 2024
CoreMedia
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Adăugare intrare: luni, 10 iunie 2024
CoreMedia
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2024-27831: Amir Bazine și Karsten König de la CrowdStrike Counter Adversary Operations
Adăugare intrare: luni, 10 iunie 2024
Disk Images
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27832: un cercetător anonim
Adăugare intrare: luni, 10 iunie 2024
Finder
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate citi fișiere arbitrare
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2024-27827: un cercetător anonim
Foundation
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27801: CertiK SkyFall Team
Adăugare intrare: luni, 10 iunie 2024
ImageIO
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27836: Junsung Lee în colaborare cu Trend Micro Zero Day Initiative
Adăugare intrare: luni, 10 iunie 2024
IOHIDFamily
Disponibilitate pentru: macOS Sonoma
Impact: O aplicație fără privilegii poate să înregistreze apăsările de taste în alte aplicații, inclusiv cele care folosesc modul securizat de intrare de date.
Descriere: această problemă a fost rezolvată prin verificări suplimentare ale drepturilor.
CVE-2024-27799: un cercetător anonim
Adăugare intrare: luni, 10 iunie 2024
Kernel
Disponibilitate pentru: macOS Sonoma
Impact: un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27818: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Kernel
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2024-27815: un cercetător anonim și Joseph Ravichandran (@0xjprx) de la MIT CSAIL
Adăugare intrare: luni, 10 iunie 2024
libiconv
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27811: Nick Wellnhofer
Adăugare intrare: luni, 10 iunie 2024
Libsystem
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.
CVE-2023-42893: un cercetător anonim
Disponibilitate pentru: macOS Sonoma
Impact: un atacator cu acces fizic ar putea reuși să divulge credențialele contului de e-mail.
Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.
CVE-2024-23251: Gil Pedersen
Adăugare intrare: luni, 10 iunie 2024
Disponibilitate pentru: macOS Sonoma
Impact: un email creat malițios ar putea iniția apeluri FaceTime fără autorizarea utilizatorului.
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Adăugare intrare: luni, 10 iunie 2024
Maps
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2024-27810: LFY@secsys de la Fudan University
Messages
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2024-27800: Daniel Zajork și Joshua Zajork
Adăugare intrare: luni, 10 iunie 2024
Metal
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) în colaborare cu Trend Micro Zero Day Initiative
Adăugare intrare: luni, 10 iunie 2024
Metal
Disponibilitate pentru: macOS Sonoma
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2024-27857: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative
Adăugare intrare: luni, 10 iunie 2024
PackageKit
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2024-27822: Scott Johnson, Mykola Grymalyuk de la RIPEDA Consulting, Jordy Witteman și Carlos Polop
PackageKit
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2024-27885: Mickey Jin (@patch1t)
Adăugare intrare: luni, 10 iunie 2024
PrintCenter
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate să execute cod arbitrar în afara propriului sandbox sau cu anumite privilegii ridicate
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27813: un cercetător anonim
PrintCenter
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate să execute cod arbitrar în afara propriului sandbox sau cu anumite privilegii ridicate
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27813: un cercetător anonim
Adăugare intrare: luni, 10 iunie 2024
RemoteViewServices
Disponibilitate pentru: macOS Sonoma
Impact: un atacator poate fi capabil să acceseze date de acces ale utilizatorului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-27816: Mickey Jin (@patch1t)
RemoteViewServices
Disponibilitate pentru: macOS Sonoma
Impact: un atacator poate fi capabil să acceseze date de acces ale utilizatorului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-27816: Mickey Jin (@patch1t)
Adăugare intrare: luni, 10 iunie 2024
Safari
Disponibilitate pentru: macOS Sonoma
Impact: dialogul de permisiune al unui site web poate persista după navigarea departe de site-ul respectiv.
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27844: Narendra Bhati (Suma Soft Pvt.) Ltd in Pune (India), Shaheen Fazim
Adăugare intrare: luni, 10 iunie 2024
SharedFileList
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-27843: Mickey Jin (@patch1t)
Shortcuts
Disponibilitate pentru: macOS Sonoma
Impact: o scurtătură poate fi capabilă să trimită date sensibile despre utilizator fără acordul acestuia
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2024-27821: Kirin (@Pwnrin), zbleet și Csaba Fitzl (@theevilbit) de la Kandji
Shortcuts
Disponibilitate pentru: macOS Sonoma
Impact: o scurtătură poate fi capabilă să utilizeze date sensibile cu anumite acțiuni fără a solicita utilizatorului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27855: un cercetător anonim
Adăugare intrare: luni, 10 iunie 2024
Spotlight
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: această problemă a fost rezolvată printr-o igienizare îmbunătățită a mediului.
CVE-2024-27806
Adăugare intrare: luni, 10 iunie 2024
StorageKit
Disponibilitate pentru: macOS Sonoma
Impact: un atacator ar putea să ridice nivelul privilegiilor
Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2024-27798: Yann GASCUEL de la Alter Solutions
StorageKit
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite de permisiuni.
CVE-2024-27848: Csaba Fitzl (@theevilbit) de la Kandji
Adăugare intrare: luni, 10 iunie 2024
Sync Services
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite
CVE-2024-27847: Mickey Jin (@patch1t)
udf
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27842: CertiK SkyFall Team
Voice Control
Disponibilitate pentru: macOS Sonoma
Impact: un atacator ar putea să ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27796: ajajfxhj
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: un atacator cu capacitate arbitrară de citire și scriere poate reuși să evite autentificarea pointerilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) în colaborare cu Trend Micro Zero Day Initiative
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: problema a fost rezolvată prin adăugarea unei logici suplimentare.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos de la Mozilla
Adăugare intrare: luni, 10 iunie 2024
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard de la CISPA Helmholtz Center for Information Security
Adăugare intrare: luni, 10 iunie 2024
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: Această problemă a fost rezolvată prin îmbunătățiri aduse algoritmului de injectare a zgomotului.
WebKit Bugzilla: 270767
CVE-2024-27850: un cercetător anonim
Adăugare intrare: luni, 10 iunie 2024
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) (360 Vulnerability Research Institute)
Adăugare intrare: luni, 10 iunie 2024
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: un atacator cu rea intenție, cu capacitate arbitrară de citire și scriere, poate reuși să evite autentificarea pointerilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) în colaborare cu Trend Micro Zero Day Initiative
Adăugare intrare: luni, 10 iunie 2024
WebKit Canvas
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) de la Crawless și @abrahamjuliot
Adăugare intrare: luni, 10 iunie 2024
WebKit Web Inspector
Disponibilitate pentru: macOS Sonoma
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Adăugare intrare: luni, 10 iunie 2024
Alte mențiuni
App Store
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
AppleMobileFileIntegrity
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.
Adăugare intrare: luni, 10 iunie 2024
CoreHAP
Dorim să îi mulțumim lui Adrian Cable pentru asistența acordată.
Disk Images
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.
Adăugare intrare: luni, 10 iunie 2024
HearingCore
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
ImageIO
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Adăugare intrare: luni, 10 iunie 2024
Managed Configuration
Dorim să îi mulțumim lui 遥遥领先 (@晴天组织) pentru asistența acordată.
Music
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Safari Downloads
Dorim să-i mulțumim lui Arsenii Kostromin (0x3c3e) pentru asistența acordată.
Transparency
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.
Adăugare intrare: luni, 10 iunie 2024