Obsah zabezpečenia v systéme macOS Sequoia 15
V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Sequoia 15.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.
macOS Sequoia 15
Dátum vydania: 16. septembra 2024
Accounts
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-44129
Accounts
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2024-44153: Mickey Jin (@patch1t)
Accounts
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)
APFS
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Škodlivá apka s oprávneniami správcu môže byť schopná upravovať obsah systémových súborov
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)
APNs
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dosah: Apka s oprávneniami používateľa root môže byť schopná získať prístup k súkromným informáciám
Popis: Tento problém bol vyriešený vylepšením ochrany dát.
CVE-2024-44130
App Intents
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže získať prístup k citlivým údajom zapísaným, keď sa cez skratku nepodarí spustiť inú apku.
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2024-44182: Kirin (@Pwnrin)
AppleGraphicsControl
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-44154: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative
AppleGraphicsControl
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-40845: Pwn2car v spolupráci s Trend Micro Zero Day Initiative
CVE-2024-40846: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative
AppleMobileFileIntegrity
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-44164: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-40837: Kirin (@Pwnrin)
AppleMobileFileIntegrity
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Problém bol riešený dodatočnými obmedzeniami pri podpisovaní kódu.
CVE-2024-40847: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Útočník môže byť schopný čítať citlivé informácie
Popis: Problém so znížením úrovne bol riešený dodatočnými obmedzeniami pri podpisovaní kódu.
CVE-2024-40848: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s vypĺňaním knižnice, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-44168: Claudio Bozzato a Francesco Benvenuto z Cisco Talos
AppleVA
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-27860: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative
CVE-2024-27861: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative
AppleVA
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2024-40841: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative
AppSandbox
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Rozšírenie kamery môže mať prístup k internetu
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-27795: Halle Winkler, Politepix @hallewinkler
AppSandbox
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže mať prístup k chráneným súborom v rámci priestoru App Sandbox
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-44135: Mickey Jin (@patch1t)
ArchiveService
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.
CVE-2024-44132: Mickey Jin (@patch1t)
Automator
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Pracovný postup rýchlej akcie Automator môže obísť Gatekeeper
Popis: Tento problém bol vyriešený pridaním ďalšej výzvy na získanie súhlasu používateľa.
CVE-2024-44128: Anton Boegler
bless
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-44151: Mickey Jin (@patch1t)
Compression
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dosah: Rozbalenie archívu so škodlivým kódom môže umožniť útočníkovi zapisovať ľubovoľné súbory
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Control Center
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže nahrávať obrazovku bez indikátora
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-27869: anonymný výskumník
Control Center
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Indikátory súkromia pre prístup k mikrofónu alebo kamere môžu byť priradené nesprávne.
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)
copyfile
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením spracovania súborov.
CVE-2024-44146: anonymný výskumník
CUPS
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.
CVE-2023-4504
Disk Images
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením overovania atribútov súboru.
CVE-2024-44148: anonymný výskumník
Dock
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.
CVE-2024-44177: anonymný výskumník
FileProvider
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2024-44131: @08Tc3wBB z Jamf
Game Center
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Problém s prístupom k súborom sa vyriešil vylepšením overovania vstupu.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
Image Capture
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup ku knižnici fotiek používateľa
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-40831: Mickey Jin (@patch1t)
ImageIO
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-27880: Junsung Lee
ImageIO
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2024-44176: dw0r z ZeroPointer Lab spolupracujúci s Trend Micro Zero Day Initiative, anonymný výskumník
Installer
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-40861: Mickey Jin (@patch1t)
Intel Graphics Driver
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Spracovanie škodlivo vytvorenej textúry môže viesť k neočakávanému ukončeniu aplikácie
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-44160: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative
Intel Graphics Driver
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Spracovanie škodlivo vytvorenej textúry môže viesť k neočakávanému ukončeniu aplikácie
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2024-44161: Michael DePlante (@izobashi) z Trend Micro Zero Day Initiative
IOSurfaceAccelerator
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-44169: Antonio Zekić
Kernel
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Sieťový prenos môže unikať z tunela VPN.
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2024-44165: Andrew Lytvynov
Kernel
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže získať neoprávnený prístup k rozhraniu Bluetooth
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) a Mathy Vanhoef
libxml2
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-44198: OSS-Fuzz, Ned Williamson z Google Project Zero
Mail Accounts
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k informáciám o používateľských kontaktoch
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)
Maps
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Problém bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2024-44181: Kirin(@Pwnrin) a LFY(@secsys) z Fudan University
mDNSResponder
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k logickej chybe, ktorá bola vyriešená vylepšením spracovania chýb.
CVE-2024-44183: Olivier Levon
Model I/O
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby.
Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.
CVE-2023-5841
Music
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-27858: Meng Zhang (鲸落) z NorthSea, Csaba Fitzl (@theevilbit) z Offensive Security
Notes
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná prepisovať ľubovoľné súbory
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2024-44167: ajajfxhj
Notification Center
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Škodlivá apka môže získať prístup k oznámeniam zo zariadenia používateľa
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený presunutím citlivých dát do chráneného umiestnenia.
CVE-2024-40838: Brian McNulty, Cristian Dinca z „Tudor Vianu“ National High School of Computer Science, Rumunsko, Vaibhav Prajapati
NSColor
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.
CVE-2024-44186: anonymný výskumník
OpenSSH
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Viacero problémov v súčasti OpenSSH
Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.
CVE-2024-39894
PackageKit
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2024-44178: Mickey Jin (@patch1t)
Printing
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Pri používaní náhľadu funkcie tlače sa môže nezašifrovaný dokument zapísať do dočasného súboru
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania súborov.
CVE-2024-40826: anonymný výskumník
Quick Look
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-44149: Wojciech Regula z SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) z OffSec
Safari
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2024-40797: Rifa'i Rejal Maynando
Sandbox
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dosah: Škodlivá apka môže byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-44125: Zhongquan Li (@Guluisacat)
Sandbox
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k súkromným údajom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-44163: Zhongquan Li (@Guluisacat)
Security Initialization
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), anonymný výskumník
Shortcuts
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-40837: Kirin (@Pwnrin)
Shortcuts
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Skratka môže bez súhlasu poskytovať citlivé dáta používateľa
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2024-44158: Kirin (@Pwnrin)
Shortcuts
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže sledovať údaje zobrazené používateľovi prostredníctvom skratiek.
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2024-40844: Kirin (@Pwnrin) a luckyu (@uuulucky) z NorthSea
Siri
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený presunutím citlivých údajov do bezpečnejšieho umiestnenia.
CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)
sudo
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2024-40860: Arsenii Kostromin (0x3c3e)
System Settings
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2024-44152: Kirin (@Pwnrin)
CVE-2024-44166: Kirin (@Pwnrin) a LFY (@secsys) z Fudan University
System Settings
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná čítať ľubovoľné súbory
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)
TCC
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Zariadenia v správe MDM – apka môže dokázať obísť určité preferencie ochrany súkromia.
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) zo spoločnosti Microsoft
Transparency
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)
TV App
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-40859: Csaba Fitzl (@theevilbit) z Offensive Security
Vim
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.
CVE-2024-41957
WebKit
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Tento problém bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Tento problém bol vyriešený vylepšením používateľského rozhrania.
WebKit Bugzilla: 279451
CVE-2024-40866: Hafiizh a YoKo Kho (@yokoacc) z HakTrak
WebKit
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom
Popis: V rámcoch iframe dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)
Wi-Fi
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dosah: Neprivilegovaný používateľ môže byť schopný upraviť obmedzené sieťové nastavenia
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)
Wi-Fi
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-23237: Charly Suchanek
Wi-Fi
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2024-44134
Wi-Fi
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Útočník môže prinútiť zariadenie odpojiť sa od zabezpečenej siete.
Popis: Problém s integritou bol riešený pomocou prvku Beacon Protection.
CVE-2024-40856: Domien Schepers
WindowServer
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Objavil sa logický problém, kde proces môže zachytiť obsah obrazovky bez súhlasu používateľa.
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-44189: Tim Clem
XProtect
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením overovania premenných prostredia.
CVE-2024-40842: Gergely Kalman (@gergely_kalman)
XProtect
Dostupné pre: Mac Studio (2022 a novšie), iMac (2019 a novšie), Mac Pro (2019 a novšie), Mac Mini (2018 a novšie), MacBook Air (2020 a novšie), MacBook Pro (2018 a novšie) a iMac Pro (2017 a novšie)
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)
Ďalšie poďakovanie
Admin Framework
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) (Offensive Security).
Airport
Poďakovanie za pomoc si zaslúži David Dudok de Wit, Yiğit Can YILMAZ (@yilmazcanyigit).
APFS
Poďakovanie za pomoc si zaslúži Georgi Valkov z httpstorm.com.
App Store
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) (Offensive Security).
AppKit
Poďakovanie za pomoc si zaslúži @08Tc3wBB z Jamf.
Apple Neural Engine
Poďakovanie za pomoc si zaslúži Jiaxun Zhu (@svnswords) a Minghao Lin (@Y1nKoc).
Automator
Poďakovanie za pomoc si zaslúži Koh M. Nakagawa (@tsunek0h).
Core Bluetooth
Poďakovanie za pomoc si zaslúži Nicholas C. z Onymos Inc. (onymos.com).
Core Services
Poďakovanie za pomoc si zaslúži Cristian Dinca z „Tudor Vianu“ National High School of Computer Science, Rumunsko, Kirin (@Pwnrin) a 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, Zhongquan Li (@Guluisacat).
Disk Utility
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z Kandji.
FileProvider
Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).
Foundation
Poďakovanie za pomoc si zaslúži Ostorlab.
Kernel
Poďakovanie za pomoc si zaslúži Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) z PixiePoint Security.
libxpc
Poďakovanie za pomoc si zaslúži Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu).
LLVM
Poďakovanie za pomoc si zaslúži Victor Duta z Universiteit Amsterdam, Fabio Pagani z University of California, Santa Barbara, Cristiano Giuffrida z Universiteit Amsterdam, Marius Muench a Fabian Freyer.
Maps
Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).
Music
Poďakovanie za pomoc si zaslúži Khiem Tran z databaselog.com/khiemtran, K宝 a LFY@secsys z Fudan University, Yiğit Can YILMAZ (@yilmazcanyigit).
Notifications
Poďakovanie za pomoc si zaslúži anonymný výskumník.
PackageKit
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) of OffSec, Mickey Jin (@patch1t), Zhongquan Li (@Guluisacat).
Passwords
Poďakovanie za pomoc si zaslúži Richard Hyunho Im (@r1cheeta).
Photos
Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi, Leandro Chaves.
Podcasts
Poďakovanie za pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).
Quick Look
Poďakovanie za pomoc si zaslúži Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com).
Safari
Poďakovanie za pomoc si zaslúži Hafiizh a YoKo Kho (@yokoacc) z HakTrak, Junsung Lee, Shaheen Fazim.
Sandbox
Poďakovanie za pomoc si zaslúži Cristian Dinca z „Tudor Vianu“ National High School of Computer Science, Romania, Kirin (@Pwnrin) z NorthSea, Wojciech Regula z SecuRing (wojciechregula.blog), Yiğit Can YILMAZ (@yilmazcanyigit).
Screen Capture
Poďakovanie za pomoc si zaslúži Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit), anonymný výskumník.
Shortcuts
Poďakovanie za pomoc si zaslúži Cristian Dinca z „Tudor Vianu“ National High School of Computer Science, Rumunsko, Jacob Braun, anonymný výskumník.
Siri
Poďakovanie za pomoc si zaslúži Rohan Paudel.
SystemMigration
Poďakovanie za pomoc si zaslúži Jamey Wicklund, Kevin Jansen, anonymný výskumník.
TCC
Poďakovanie za pomoc si zaslúži Noah Gregory (wts.dev), Vaibhav Prajapati.
UIKit
Poďakovanie za pomoc si zaslúži Andr.Ess.
Voice Memos
Poďakovanie za pomoc si zaslúži Lisa B.
WebKit
Poďakovanie za pomoc si zaslúži Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar).
Wi-Fi
Poďakovanie za pomoc si zaslúži Antonio Zekic (@antoniozekic) a ant4g0nist, Tim Michaud (@TimGMichaud) z Moveworks.ai.
WindowServer
Poďakovanie za pomoc si zaslúži Felix Kratz, anonymný výskumník.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.