macOS Sonoma 14.4'ün güvenlik içeriği hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

Yayınlanma tarihi: 7 Mart 2024

Accessibility

İlgili sürüm: macOS Sonoma

Etki: Kötü amaçla oluşturulmuş bir uygulama, erişilebilirlik bildirimleriyle ilişkili günlük girişlerindeki kullanıcı bilgilerini izleyebilir.

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-23291

Admin Framework

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23276: Kirin (@Pwnrin)

Airport

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2024-23227: Brian McNulty

AppleMobileFileIntegrity

İlgili sürüm: macOS Sonoma

Etki: Bu uygulamaya verilen yetkiler ve gizlilik izinleri kötü amaçlı bir uygulama tarafından kullanılabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2024-23233: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Intel tabanlı Mac bilgisayarları etkileyen bir eski sürüme düşürme sorunu, ek kod imzalama kısıtlamalarıyla giderildi.

CVE-2024-23269: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-23288: SecuRing'den Wojciech Regula (wojciechregula.blog) ve Kirin (@Pwnrin)

Bluetooth

İlgili sürüm: macOS Sonoma

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, klavye sahteciliği yaparak tuş vuruşları ekleyebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-23277: SkySafe'ten Marc Newlin

ColorSync

İlgili sürüm: macOS Sonoma

Etki: Bir dosyanın işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23247: m4yfly ve TianGong Team of Legendsec, Qi'anxin Group

ColorSync

İlgili sürüm: macOS Sonoma

Etki: Bir dosyanın işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23248: m4yfly (Qi'anxin Group TianGong Team of Legendsec ile)

CVE-2024-23249: m4yfly (Qi'anxin Group TianGong Team of Legendsec ile)

CoreBluetooth - LE

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, Bluetooth ile bağlı mikrofonlara kullanıcı izni olmadan erişebilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2024-23250: Best Buddy Apps'ten Guilherme Rambo (rambo.codes)

Dock

İlgili sürüm: macOS Sonoma

Etki: Standart kullanıcı hesabındaki bir uygulama, yönetici kullanıcı oturum açtıktan sonra ayrıcalığını artırabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23244: OffSec'ten Csaba Fitzl (@theevilbit)

ExtensionKit

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-23205

file

İlgili sürüm: macOS Sonoma

Etki: Bir dosyanın işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-48554

Image Capture

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, kullanıcıların Fotoğraflar Arşivi'ne erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-23253: Mickey Jin (@patch1t)

Image Processing

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23270: anonim bir araştırmacı

ImageIO

İlgili sürüm: macOS Sonoma

Etki: Bir görüntünün işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23257: Junsung Lee (Trend Micro Zero Day Initiative programıyla)

ImageIO

İlgili sürüm: macOS Sonoma

Etki: Bir görüntüyü işlemek rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2024-23258: Qianxin Pangu team'den Zhenjiang Zhao

ImageIO

İlgili sürüm: macOS Sonoma

Etki: Bir görüntüyü işlemek rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2024-23286: Dohyun Lee (@l33d0hyun)

Intel Graphics Driver

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2024-23234: Murray Mike

Kerberos v5 PAM module

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)

Kernel

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2024-23235

Kernel

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir

Açıklama: Kilitleme iyileştirilerek bellek bozulması güvenlik açığı giderildi.

CVE-2024-23265: Xinru Chi, Pangu Lab

Kernel

İlgili sürüm: macOS Sonoma

Etki: Rastgele çekirdek okuma ve yazma özelliğine sahip bir saldırgan, çekirdek bellek korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2024-23225

libxpc

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-23278: anonim bir araştırmacı

libxpc

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, rastgele kodu kendi korumalı alanından veya belirli yükseltilmiş ayrıcalıklarla yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-0258: ali yabuz

MediaRemote

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-23279: Anonim bir araştırmacı

Messages

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-23287: Kirin (@Pwnrin)

Metal

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2024-23264: Meysam Firouzi @R00tkitsmm (Trend Micro Zero Day Initiative programıyla)

Music

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, diskin korumalı bölgelerine sembolik bağlantılar oluşturabilir

Açıklama: Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2024-23285: Jamf'den @08Tc3wBB

Notes

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-23283

OpenSSH

İlgili sürüm: macOS Sonoma

Etki: OpenSSH'de birden çok sorun

Açıklama: OpenSSH, 9.6 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2023-48795

CVE-2023-51384

CVE-2023-51385

PackageKit

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-42816: Mickey Jin (@patch1t)

PackageKit

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, rastgele dosyaların üzerine yazabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)

PackageKit

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, belirli Gizlilik tercihlerini atlatabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-23267: Mickey Jin (@patch1t)

PackageKit

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir ekleme (injection) sorunu giderildi.

CVE-2024-23268: Mickey Jin (@patch1t), Pedro Tôrres (@t0rr3sp3dr0)

CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)

PackageKit

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-42853: Mickey Jin (@patch1t)

PackageKit

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2024-23275: Mickey Jin (@patch1t)

Photos

İlgili sürüm: macOS Sonoma

Etki: Gizli Fotoğraflar Albümü'ndeki fotoğraflar kimlik doğrulama olmadan görüntülenebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2024-23255: Harsh Tyagi

QuartzCore

İlgili sürüm: macOS Sonoma

Etki: Kötü amaçlı bir girişin işlenmesi kod yürütülmesine neden olabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-23294: SecuRing'den Wojciech Regula (wojciechregula.blog)

RTKit

İlgili sürüm: macOS Sonoma

Etki: Rastgele çekirdek okuma ve yazma özelliğine sahip bir saldırgan, çekirdek bellek korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2024-23296

Safari

İlgili sürüm: macOS Sonoma

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-23259: Lyra Rebane (rebane2001)

Safari Private Browsing

İlgili sürüm: macOS Sonoma

Etki: Özel Dolaşma sekmelerine kimlik doğrulama olmadan erişilebilir

Açıklama: Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2024-23273: Matej Rabzelj

Sandbox

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, NVRAM değişkenlerinde düzenleme yapabilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2024-23238

Sandbox

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı bilgilerini sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23290: SecuRing'den Wojciech Regula (wojciechregula.blog)

Screen Capture

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama kullanıcının ekranın görüntüsünü alabilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-23232: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-23231: Kirin (@Pwnrin) ve luckyu (@uuulucky)

SharedFileList

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Dosya işleme iyileştirilerek bu sorun giderildi.

CVE-2024-23230: Mickey Jin (@patch1t)

Shortcuts

İlgili sürüm: macOS Sonoma

Etki: Üçüncü taraf kısayolları, kullanıcının izni olmadan etkinlikleri uygulamalara göndermek için eski bir Automator eylemini kullanabilir

Açıklama: Bu sorun, kullanıcı izni için ek istem eklenerek giderildi.

CVE-2024-23245: anonim bir araştırmacı

Shortcuts

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, bir kullanıcının kişileriyle ilgili bilgilere erişebilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2024-23292: Fudan Üniversitesi'nden K宝 ve LFY@secsys

Siri

İlgili sürüm: macOS Sonoma

Etki: Aygıta fiziksel erişimi olan bir kişi, özel takvim bilgilerine erişmek için Siri'yi kullanabilir

Açıklama: Durum yönetimi iyileştirilerek bir kilitli ekran sorunu giderildi.

CVE-2024-23289: Lewis Hardy

Siri

İlgili sürüm: macOS Sonoma

Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2024-23293: Bistrit Dahal

Spotlight

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı bilgilerini sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2024-23241

Storage Services

İlgili sürüm: macOS Sonoma

Etki: Bir kullanıcı, dosya sisteminin korumalı bölümlerine erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23272: Mickey Jin (@patch1t)

Synapse

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, Mail bilgilerini görüntüleyebilir

Açıklama: Metin alanlarının içerikleri günlüğe kaydedilmeyerek bir gizlilik sorunu giderildi.

CVE-2024-23242

System Settings

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-23281: Joshua Jewett (@JoshJewett33)

TV App

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek yetkiler kaldırılarak bu sorun giderildi.

CVE-2024-23260: Joshua Jewett (@JoshJewett33)

UIKit

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-23246: Bundesamt für Sicherheit in der Informationstechnik sponsorluğundaki Deutsche Telekom Security GmbH

WebKit

İlgili sürüm: macOS Sonoma

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car

WebKit

İlgili sürüm: macOS Sonoma

Etki: Kötü amaçlı bir web sitesi kaynaklar arasında ses verileri sızdırabilir

Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

İlgili sürüm: macOS Sonoma

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

İlgili sürüm: macOS Sonoma

Etki: Kötü amaçlı olarak oluşturulmuş bir web sayfası kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir ekleme sorunu giderildi.

WebKit Bugzilla: 266703
CVE-2024-23280: Anonim bir araştırmacı

WebKit

İlgili sürüm: macOS Sonoma

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber ve Marco Squarcina

AppKit

Stephan Casas'a yardımı için teşekkür ederiz.

CoreAnimation

Junsung Lee'ye yardımı için teşekkür ederiz.

CoreMotion

Twin Cities App Dev LLC şirketinden Eric Dorphy'ye yardımı için teşekkür ederiz.

Endpoint Security

Matthew White'a yardımı için teşekkür ederiz.

Find My

NorthSea'den Meng Zhang'a (鲸落) yardımı için teşekkür ederiz.

Kernel

Tarek Joumaa (@tjkr0wn) ve 이준성(Junsung Lee) adlı araştırmacılara yardımları için teşekkür ederiz.

libarchive

koocola'ya yardımı için teşekkür ederiz.

libxml2

OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.

libxpc

Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Model I/O

Junsung Lee'ye yardımı için teşekkür ederiz.

Photos

Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) yardımı için teşekkür ederiz.

Power Management

STAR Labs SG Pte. Ltd. şirketinden Pan ZhenPeng'e (@Peterpan0927) yardımı için teşekkür ederiz.

Safari

Abhinav Saraswat, Matthew C ve 이동하 (ZeroPointer Lab'den Lee Dong Ha) adlı araştırmacılara yardımları için teşekkür ederiz.

SharedFileList

Canva'dan Phil Schneider'e yardımı için teşekkür ederiz.

Siri

Bistrit Dahal'a yardımı için teşekkür ederiz.

Storage Driver

PixiePoint Security Şirketinden Liang Wei'ye yardımı için teşekkür ederiz.

SystemMigration

Eugene Gershnik'e yardımı için teşekkür ederiz.

TCC

Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.

WebKit

360 Vulnerability Research Institute'tan Nan Wang (@eternalsakura13), Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina ve TU Wien'den Veronese'ye yardımları için teşekkür ederiz.