Obsah zabezpečenia v systéme macOS Sonoma 14.4

V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Sonoma 14.4.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Sonoma 14.4

Dátum vydania: 7. marca 2024

Accessibility

Dostupné pre: macOS Sonoma

Dopad: Škodlivá apka môže byť schopná sledovať dáta používateľa v položkách záznamov týkajúcich sa hlásení o prístupnosti

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-23291

Admin Framework

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-23276: Kirin (@Pwnrin)

AirPort

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-23227: Brian McNulty

AppKit

Dostupné pre: macOS Sonoma

Dopad: Neprivilegovaná aplikácia môže byť schopná zaznamenávať stlačené klávesy v iných aplikáciách vrátane tých, ktoré používajú zabezpečený vstupný režim.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2024-27886: Stephan Casas a anonymný výskumník

Zápis pridaný 29. júla 2024

AppleMobileFileIntegrity

Dostupné pre: macOS Sonoma

Dosah: Oprávnenia a povolenia ochrany súkromia udelené tejto apke môže používať škodlivá apka

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-23233: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s prechodom na staršiu verziu, ktorý sa týkal počítačov Mac s procesorom Intel a bol vyriešený ďalšími obmedzeniami podpisovania kódu.

CVE-2024-23269: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2024-23288: Wojciech Regula z tímu SecuRing (wojciechregula.blog) a Kirin (@Pwnrin)

Bluetooth

Dostupné pre: macOS Sonoma

Dopad: Útočník s oprávneniami v sieti môže byť schopný vkladať stlačenia klávesov predstieraním použitia klávesnice

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-23277: Marc Newlin z tímu SkySafe

ColorSync

Dostupné pre: macOS Sonoma

Dopad: Spracovanie súboru môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-23247: m4yfly z tímu TianGong Team of Legendsec spoločnosti Qi'anxin Group

ColorSync

Dostupné pre: macOS Sonoma

Dopad: Spracovanie súboru môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-23248: m4yfly z tímu TianGong Team of Legendsec spoločnosti Qi'anxin Group

CVE-2024-23249: m4yfly z tímu TianGong Team of Legendsec spoločnosti Qi'anxin Group

CoreBluetooth - LE

Dostupné pre: macOS Sonoma

Dopad: Apka môže bez povolenia používateľa získať prístup k mikrofónom pripojeným cez Bluetooth

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.

CVE-2024-23250: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Obrazy disku

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-23299: anonymný výskumník

Dátum pridania záznamu: 29. mája 2024

Dock

Dostupné pre: macOS Sonoma

Dopad: Po prihlásení správcu môže apka zo štandardného používateľského účtu eskalovať oprávnenia

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2024-23244: Csaba Fitzl (@theevilbit) zo spoločnosti OffSec

ExtensionKit

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-23205

file

Dostupné pre: macOS Sonoma

Dopad: Spracovanie súboru môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2022-48554

Find My

Dostupné pre: macOS Sonoma

Dosah: Apka so škodlivým kódom môže byť schopná získať prístup k dátam služby Nájsť

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-23229: Joshua Jewett (@JoshJewett33)

Dátum pridania záznamu: pondelok 13. mája 2024

Foundation

Dostupné pre: macOS Sonoma

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-27789: Mickey Jin (@patch1t)

Dátum pridania záznamu: pondelok 13. mája 2024

Image Capture

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná získať prístup ku knižnici fotiek používateľa

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-23253: Mickey Jin (@patch1t)

Image Processing

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-23270: Anonymný výskumník

ImageIO

Dostupné pre: macOS Sonoma

Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-23257: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: macOS Sonoma

Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-23258: Zhenjiang Zhao z tímu pangu team spoločnosti Qianxin, Amir Bazine a Karsten König z tímu CrowdStrike Counter Adversary Operations

Dátum aktualizovania záznamu: 29. mája 2024

ImageIO

Dostupné pre: macOS Sonoma

Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-23286: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Amir Bazine a Karsten König z tímu CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun), Lyutoon a Mr.R

Dátum aktualizovania záznamu: 29. mája 2024

Intel Graphics Driver

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-23234: Murray Mike

Kerberos v5 PAM module

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)

Kernel

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2024-23235

Kernel

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.

CVE-2024-23265: Xinru Chi z tímu Pangu Lab

Kernel

Dostupné pre: macOS Sonoma

Dopad: Útočník s ľubovoľným prístupom na čítanie jadra a zápis doň môže byť schopný obísť opatrenia na ochranu pamäte jadra. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť zneužitý.

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2024-23225

libarchive

Dostupné pre: macOS Sonoma

Dopad: Súbor ZIP so škodlivým kódom môže obísť kontroly funkcie Gatekeeper

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-27853: koocola

Zápis pridaný 29. júla 2024

libxpc

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-23278: Anonymný výskumník

libxpc

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná spustiť ľubovoľný kód mimo svojho sandboxu alebo s určitými oprávneniami vyššej úrovne

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-0258: ali yabuz

MediaRemote

Dostupné pre: macOS Sonoma

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-23279: Anonymný výskumník

Messages

Dostupné pre: macOS Sonoma

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2024-23287: Kirin (@Pwnrin)

Metal

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Music

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná vytvárať symbolické odkazy na chránené oblasti disku

Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.

CVE-2024-23285: @08Tc3wBB zo spoločnosti Jamf

Music

Dostupné pre: macOS Sonoma

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-27809: anonymný výskumník

Zápis pridaný 29. júla 2024

Notes

Dostupné pre: macOS Sonoma

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-23283

NSSpellChecker

Dostupné pre: macOS Sonoma

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2024-27887: Mickey Jin (@patch1t)

Záznam pridaný 29. júla 2024

OpenSSH

Dostupné pre: macOS Sonoma

Dopad: Viacero problémov v súčasti OpenSSH

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním súčasti OpenSSH na verziu 9.6.

CVE-2023-48795

CVE-2023-51384

CVE-2023-51385

PackageKit

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-42816: Mickey Jin (@patch1t)

PackageKit

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná prepisovať ľubovoľné súbory

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)

PackageKit

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná obísť určité nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-23267: Mickey Jin (@patch1t)

PackageKit

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení

Opis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-23268: Mickey Jin (@patch1t), Pedro Tôrres (@t0rr3sp3dr0)

CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)

PackageKit

Dostupné pre: macOS Sonoma

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2023-42853: Mickey Jin (@patch1t)

PackageKit

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2024-23275: Mickey Jin (@patch1t)

PackageKit

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Problém s povoleniami sa vyriešil odstránením nedostatočne zabezpečeného kódu a pridaním ďalších kontrol.

CVE-2024-27888: Mickey Jin (@patch1t)

Záznam pridaný 29. júla 2024

Photos

Dostupné pre: macOS Sonoma

Dopad: Fotky v albume so skrytými fotkami môže byť možné zobraziť bez overenia

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-23255: Harsh Tyagi

QuartzCore

Dostupné pre: macOS Sonoma

Dopad: Spracovanie vstupu so škodlivým kódom môže viesť k spusteniu kódu

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2024-23294: Wojciech Regula z tímu SecuRing (wojciechregula.blog)

RTKit

Dostupné pre: macOS Sonoma

Dopad: Útočník s ľubovoľným prístupom na čítanie jadra a zápis doň môže byť schopný obísť opatrenia na ochranu pamäte jadra. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť zneužitý.

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2024-23296

Safari

Dostupné pre: macOS Sonoma

Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-23259: Lyra Rebane (rebane2001)

Safari Private Browsing

Dostupné pre: macOS Sonoma

Dopad: Prístup k tabom anonymného prezerania je možný bez overenia

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-23273: Matej Rabzelj

Sandbox

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná upraviť premenné v pamäti NVRAM

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.

CVE-2024-23238

Sandbox

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná spôsobiť únik citlivých používateľských informácií

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Dostupné pre: macOS Sonoma

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2024-23290: Wojciech Regula z tímu SecuRing (wojciechregula.blog)

Screen Capture

Dostupné pre: macOS Sonoma

Dosah: Apka môže byť schopná zaznamenávať obrazovku používateľa

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2024-23232: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

Dostupné pre: macOS Sonoma

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-23231: Kirin (@Pwnrin) a luckyu (@uuulucky)

SharedFileList

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením spracovania súborov.

CVE-2024-23230: Mickey Jin (@patch1t)

Shortcuts

Dostupné pre: macOS Sonoma

Dopad: Skratky od iných výrobcov môžu pomocou staršej akcie Automatora odosielať do apiek udalosti bez súhlasu používateľa

Popis: Tento problém bol vyriešený pridaním ďalšej výzvy na získanie súhlasu používateľa.

CVE-2024-23245: Anonymný výskumník

Shortcuts

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná získať prístup k informáciám o používateľských kontaktoch

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2024-23292: K宝 a LFY@secsys z Univerzity Fudan

Siri

Dostupné pre: macOS Sonoma

Dopad: Používateľ s fyzickým prístupom k zariadeniu môže byť schopný získať prístup k súkromným informáciám v kalendári pomocou Siri

Popis: Dochádzalo k problému so zamknutou obrazovkou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-23289: Lewis Hardy

Siri

Dostupné pre: macOS Sonoma

Dopad: Útočník s fyzickým prístupom môže byť schopný získať prostredníctvom Siri prístup k citlivým údajom používateľa

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-23293: Bistrit Dahal

Spotlight

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná spôsobiť únik citlivých používateľských informácií

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-23241

Storage Services

Dostupné pre: macOS Sonoma

Dopad: Útočník môže získať prístup do chránených častí súborového systému

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-23272: Mickey Jin (@patch1t)

Dátum aktualizovania záznamu: pondelok 13. mája 2024

Synapse

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná zobraziť si dáta apky Mail

Popis: Problém s ochranou súkromia bol vyriešený neprotokolovaním obsahu textových polí.

CVE-2024-23242

System Settings

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-23281: Joshua Jewett (@JoshJewett33)

TCC

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený pridaním ďalšej výzvy na získanie súhlasu používateľa.

CVE-2024-27792: Mickey Jin (@patch1t)

Dátum pridania záznamu: 29. mája 2024

Time Zone

Dostupné pre: macOS Sonoma

Vplyv: Útočník môže byť schopný čítať informácie patriace inému používateľovi.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-23261: Matthew Loewen

Záznam pridaný 29. júla 2024

TV App

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený odstránením dodatočných oprávnení.

CVE-2024-23260: Joshua Jewett (@JoshJewett33)

UIKit

Dostupné pre: macOS Sonoma

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2024-23246: Deutsche Telekom Security GmbH s podporou Spolkového úradu pre bezpečnosť informačnej techniky (BSI ­– Bundesamt für Sicherheit in der Informationstechnik)

WebKit

Dostupné pre: macOS Sonoma

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 259694

CVE-2024-23226: Pwn2car

WebKit

Dostupné pre: macOS Sonoma

Dopad: Webová stránka so škodlivým kódom môže získať dáta audia z miest rôzneho pôvodu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania používateľského rozhrania.

WebKit Bugzilla: 263795

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Dostupné pre: macOS Sonoma

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

WebKit Bugzilla: 264811

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Dostupné pre: macOS Sonoma

Dopad: Webová stránka so škodlivým kódom môže byť schopná identifikovať používateľa

Popis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania.

WebKit Bugzilla: 266703

CVE-2024-23280: Anonymný výskumník

WebKit

Dostupné pre: macOS Sonoma

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 267241

CVE-2024-23284: Georg Felber a Marco Squarcina

Ďalšie poďakovanie

AppKit

Poďakovanie za pomoc si zaslúžia Stephan Casas a anonymný výskumník.

Dátum aktualizovania záznamu: 29. mája 2024

CoreAnimation

Poďakovanie za pomoc si zaslúži Junsung Lee.

CoreMotion

Poďakovanie za pomoc si zaslúži Eric Dorphy zo spoločnosti Twin Cities App Dev LLC.

Endpoint Security

Poďakovanie za pomoc si zaslúži Matthew White.

Find My

Poďakovanie za pomoc si zaslúži Meng Zhang (鲸落) zo spoločnosti NorthSea.

Kernel

Poďakovanie za pomoc si zaslúžia Tarek Joumaa (@tjkr0wn) a 이준성 (Junsung Lee).

libxml2

Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).

libxpc

Poďakovanie za pomoc si zaslúžia Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) a anonymný výskumník.

Model I/O

Poďakovanie za pomoc si zaslúži Junsung Lee.

Photos

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale.

Power Management

Poďakovanie za pomoc si zaslúži Pan ZhenPeng (@Peterpan0927) zo spoločnosti STAR Labs SG Pte. Ltd.

Safari

Poďakovanie za pomoc si zaslúžia Abhinav Saraswat, Matthew C a 이동하 (Lee Dong Ha z tímu ZeroPointer Lab).

Sandbox

Za pomoc ďakujeme Wojciechovi Regula z tímu SecuRing (wojciechregula.blog) a Zhongquanovi Li (@Guluisacat).

Zápis pridaný 29. júla 2024

SharedFileList

Poďakovanie za pomoc si zaslúži Phil Schneider zo spoločnosti Canva.

Shortcuts

Za pomoc by sme chceli poďakovať Yusufovi Kelanymu.

Záznam pridaný 29. júla 2024

Siri

Poďakovanie za pomoc si zaslúži Bistrit Dahal.

Storage Driver

Poďakovanie za pomoc si zaslúži Liang Wei zo spoločnosti PixiePoint Security.

SystemMigration

Poďakovanie za pomoc si zaslúži Eugene Gershnik.

TCC

Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).

WebKit

Poďakovanie za pomoc si zaslúžia Nan Wang (@eternalsakura13) z inštitútu 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina a Lorenzo Veronese z Technickej univerzity vo Viedni.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: