Tietoja macOS Sonoma 14.4:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sonoma 14.4:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

macOS Sonoma 14.4

Accessibility

Saatavuus: macOS Sonoma

Vaikutus: haitallinen appi saattoi pystyä tarkastelemaan käyttäjätietoja käyttöapuilmoituksiin liittyvissä lokimerkinnöissä.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-23291

Admin Framework

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-23276: Kirin (@Pwnrin)

Airport

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2024-23227: Brian McNulty

AppKit

Saatavuus: macOS Sonoma

Vaikutus: valtuuttamaton appi saattoi pystyä kirjaamaan toisiin appeihin syötetyt näppäinpainallukset myös suojatussa syöttötilassa.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2024-27886: Stephan Casas ja nimetön tutkija

AppleMobileFileIntegrity

Saatavuus: macOS Sonoma

Vaikutus: tälle apille myönnettyjä oikeuksia ja tietosuojalupia saattoi käyttää myös haitallinen appi.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2024-23233: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2024-23269: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-23288: Wojciech Regula (SecuRing, wojciechregula.blog) ja Kirin (@Pwnrin)

Bluetooth

Saatavuus: macOS Sonoma

Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä syöttämään näppäinpainalluksia väärentämällä näppäimistön.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23277: Marc Newlin (SkySafe)

ColorSync

Saatavuus: macOS Sonoma

Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23247: m4yfly (TianGong Team, Legendsec, Qi’anxin Group)

ColorSync

Saatavuus: macOS Sonoma

Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23248: m4yfly (TianGong Team, Legendsec, Qi’anxin Group)

CVE-2024-23249: m4yfly (TianGong Team, Legendsec, Qi’anxin Group)

CoreBluetooth – LE

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään Bluetooth-mikrofoneja ilman käyttäjän lupaa.

Kuvaus: käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.

CVE-2024-23250: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Disk Images

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23299: nimetön tutkija

Dock

Saatavuus: macOS Sonoma

Vaikutus: tavallisen käyttäjätilin appi saattoi pystyä laajentamaan käyttöoikeuksiaan ylläpitäjäkäyttäjän sisäänkirjautumisen jälkeen.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2024-23244: Csaba Fitzl (@theevilbit, OffSec)

ExtensionKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-23205

file

Saatavuus: macOS Sonoma

Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-48554

Find My

Saatavuus: macOS Sonoma

Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään Etsi-apin tietoja

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2024-23229: Joshua Jewett (@JoshJewett33)

Foundation

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-27789: Mickey Jin (@patch1t)

Image Capture

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä tarkastelemaan käyttäjän Kuvat-kirjastoa.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-23253: Mickey Jin (@patch1t)

Image Processing

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23270: nimetön tutkija

ImageIO

Saatavuus: macOS Sonoma

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23257: Junsung Lee yhteistyössä Trend Micro Zero Day Initiativen kanssa

ImageIO

Saatavuus: macOS Sonoma

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-23258: Zhenjiang Zhao (pangu team), Qianxin sekä Amir Bazine ja Karsten König (CrowdStrike Counter Adversary Operations)

ImageIO

Saatavuus: macOS Sonoma

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23286: Trend Micron Zero Day Initiativen parissa työskentelevä Junsung Lee, Amir Bazine ja Karsten König (CrowdStrike Counter Adversary Operations), Dohyun Lee (@l33d0hyun), Lyutoon ja Mr.R

Intel Graphics Driver

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-23234: Murray Mike

Kerberos v5 PAM module

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2024-23235

Kernel

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

CVE-2024-23265: Xinru Chi (Pangu Lab)

Kernel

Saatavuus: macOS Sonoma

Vaikutus: Hyökkääjä, jolla oli mielivaltaiset kernelin luku- ja kirjoitusoikeudet, saattoi pystyä ohittamaan kernel-muistin suojaukset. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää.

Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2024-23225

libarchive

Saatavuus: macOS Sonoma

Vaikutus: Haitallinen ZIP-arkisto saattoi pystyä ohittamaan Gatekeeper-tarkistukset.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2024-27853: koocola

libxpc

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23278: nimetön tutkija

libxpc

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-0258: ali yabuz

MediaRemote

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-23279: nimetön tutkija

Messages

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-23287: Kirin (@Pwnrin)

Metal

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) yhteistyössä Trend Micro Zero Day Initiativen kanssa

Music

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä luomaan symbolisia linkkejä levyn suojattuihin osiin.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2024-23285: @08Tc3wBB (Jamf)

Music

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-27809: nimetön tutkija

Notes

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-23283

NSSpellChecker

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2024-27887: Mickey Jin (@patch1t)

OpenSSH

Saatavuus: macOS Sonoma

Vaikutus: OpenSSH:ssa oli useita ongelmia.

Kuvaus: useita ongelmia on ratkaistu päivittämällä OpenSSH versioon 9.6.

CVE-2023-48795

CVE-2023-51384

CVE-2023-51385

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-42816: Mickey Jin (@patch1t)

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23267: Mickey Jin (@patch1t)

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: annettujen tietojen tarkistusongelma on ratkaistu parantamalla tietojen syötön tarkistusta.

CVE-2024-23268: Mickey Jin (@patch1t), Pedro Tôrres (@t0rr3sp3dr0)

CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-42853: Mickey Jin (@patch1t)

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2024-23275: Mickey Jin (@patch1t)

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: Käyttöoikeusongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi ja lisäämällä tarkistuksia.

CVE-2024-27888: Mickey Jin (@patch1t)

Photos

Saatavuus: macOS Sonoma

Vaikutus: Kätketyt-albumin kuvia saattoi katsoa ilman todentautumista.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2024-23255: Harsh Tyagi

QuartzCore

Saatavuus: macOS Sonoma

Vaikutus: haitallisen syötteen käsitteleminen saattoi johtaa koodin suorittamiseen.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-23294: Wojciech Regula (SecuRing, wojciechregula.blog)

RTKit

Saatavuus: macOS Sonoma

Vaikutus: Hyökkääjä, jolla oli mielivaltaiset kernelin luku- ja kirjoitusoikeudet, saattoi pystyä ohittamaan kernel-muistin suojaukset. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää.

Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2024-23296

Safari

Saatavuus: macOS Sonoma

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23259: Lyra Rebane (rebane2001)

Safari Private Browsing

Saatavuus: macOS Sonoma

Vaikutus: yksityisen selauksen välilehtiä voitiin käyttää ilman todennusta.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-23273: Matej Rabzelj

Sandbox

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan NVRAM-muuttujia.

Kuvaus: käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.

CVE-2024-23238

Sandbox

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2024-23290: Wojciech Regula (SecuRing, wojciechregula.blog)

Screen Capture

Saatavuus: macOS Sonoma

Vaikutus: Sovellus saattoi pystyä ottamaan kuvan käyttäjän näytöstä.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-23232: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-23231: Kirin (@Pwnrin) ja luckyu (@uuulucky)

SharedFileList

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tiedostojen käsittelyä.

CVE-2024-23230: Mickey Jin (@patch1t)

Shortcuts

Saatavuus: macOS Sonoma

Vaikutus: muiden valmistajien pikakomennot saattoivat pystyä lähettämään tapahtumia appeihin ilman käyttäjän suostumusta vanhan Automator-toiminnon avulla.

Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.

CVE-2024-23245: nimetön tutkija

Shortcuts

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2024-23292: K宝 ja LFY@secsys (Fudan-yliopisto)

Siri

Saatavuus: macOS Sonoma

Vaikutus: henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi päästä käyttämään yksityisiä kalenteritietoja Sirin avulla.

Kuvaus: Lukitun näytön ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-23289: Lewis Hardy

Siri

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-23293: Bistrit Dahal

Spotlight

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-23241

Storage Services

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-23272: Mickey Jin (@patch1t)

Synapse

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä tarkastelemaan Mail-tietoja.

Kuvaus: tietosuojaongelma on ratkaistu jättämällä tekstikenttien sisältö kirjaamatta.

CVE-2024-23242

System Settings

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-23281: Joshua Jewett (@JoshJewett33)

TCC

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen käyttäjäsuostumuksen kehote.

CVE-2024-27792: Mickey Jin (@patch1t)

Time Zone

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä lukemaan toiselle käyttäjälle kuuluvaa tietoa.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2024-23261: Matthew Loewen

TV App

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu poistamalla lisäoikeudet.

CVE-2024-23260: Joshua Jewett (@JoshJewett33)

UIKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-23246: Deutsche Telekom Security GmbH (sponsorina Bundesamt für Sicherheit in der Informationstechnik)

WebKit

Saatavuus: macOS Sonoma

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23226: Pwn2car

WebKit

Saatavuus: macOS Sonoma

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa äänitietoja eri alkuperien kesken.

Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Saatavuus: macOS Sonoma

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Saatavuus: macOS Sonoma

Vaikutus: haitallinen verkkosivu saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla validointia.

CVE-2024-23280: nimetön tutkija

WebKit

Saatavuus: macOS Sonoma

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2024-23284: Georg Felber ja Marco Squarcina

Kiitokset

AppKit

Haluamme kiittää avusta Stephan Casasia ja nimetöntä tutkijaa.

CoreAnimation

Haluamme kiittää avusta Junsung Leetä.

CoreMotion

Haluamme kiittää avusta Eric Dorphya (Twin Cities App Dev LLC).

Endpoint Security

Haluamme kiittää avusta Matthew Whitea.

Find My

Haluamme kiittää avusta Meng Zhangia (鲸落, NorthSea).

Kernel

Haluamme kiittää avusta Tarek Joumaata (@tjkr0wn) ja Junsung Leetä (이준성).

libxml2

Haluamme kiittää OSS-Fuzzia ja Ned Williamsonia (Google Project Zero) heidän avustaan.

libxpc

Haluamme kiittää avusta Rasmus Steniä (F-Secure, Mastodon: @pajp@blog.dll.nu) ja nimetöntä tutkijaa.

Model I/O

Haluamme kiittää avusta Junsung Leetä.

Photos

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal).

Power Management

Haluamme kiittää avusta Pan ZhenPengiä (@Peterpan0927, STAR Labs SG Pte. Ltd.).

Safari

Haluamme kiittää avusta Abhinav Saraswatia, Matthew C:tä ja tutkijaa 이동하 (Lee Dong Ha, ZeroPointer Lab).

Sandbox

Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog) ja Zhongquan Litä (@Guluisacat).

SharedFileList

Haluamme kiittää avusta Phil Schneideria (Canva).

Shortcuts

Haluamme kiittää avusta Yusuf Kelanya.

Siri

Haluamme kiittää avusta Bistrit Dahalia.

Storage Driver

Haluamme kiittää avusta Liang Weitä (PixiePoint Security).

SystemMigration

Haluamme kiittää avusta Eugene Gershnikiä.

TCC

Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.

WebKit

Haluamme kiittää avusta Nan Wangia (@eternalsakura13, 360 Vulnerability Research Institute) sekä Valentino Dalla Vallea, Pedro Bernardoa, Marco Squarcinaa ja Lorenzo Veronesea (TU Wien).