macOS Sequoia 已正式推出,带来了新功能和改进,例如窗口平铺、iPhone 镜像、新的密码应用程序等。但在幕后,苹果向 Mac 用户提供了大量已修补的错误/漏洞。这些是 macOS 15 Sequoia 首次公开发布时附带的 76 个安全补丁。
macOS Sequoia 的发布包含大量安全修复程序,这对于主要的 .0 版本来说并不奇怪。然而,这是我在一次更新中见过的最广泛的 CVE 列表。很高兴看到这么多研究人员和开发人员致力于报告错误和缺陷,以帮助 Sequoia 的发布尽可能无懈可击。
苹果在其安全更新页面上分享了每项的详细信息。 CVE 的范围从内核漏洞到解决对 Siri、地图和快捷方式等应用程序中敏感数据的访问。这些修复有助于防止潜在的漏洞,例如任意代码执行、权限升级和内存泄漏。苹果还通过改进内存处理、输入验证和沙箱限制来实施补丁来防御各种攻击。
以下是 macOS Sequoia 的 76 个安全修复程序的完整列表:
账户
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用可能会泄露敏感的用户信息
描述:该问题已通过改进检查得到解决。
CVE-2024-44129
账户
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问用户敏感数据
描述:此问题已通过改进权限逻辑得到解决。
CVE-2024-44153:Mickey Jin (@patch1t)
账户
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问受保护的用户数据
描述:权限问题已通过附加限制得到解决。
CVE-2024-44188:Bohdan Stasiuk (@Bohdan_Stasiuk)
APFS
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:具有 root 权限的恶意应用或许能够修改系统文件的内容
描述:该问题已通过改进检查得到解决。
CVE-2024-40825:佩德罗·托雷斯 (@t0rr3sp3dr0)
APN
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:具有 root 权限的应用或许能够访问私人信息
描述:此问题已通过改进数据保护得到解决。
CVE-2024-44130
应用意图
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用程序或许能够访问快捷方式无法启动另一个应用程序时记录的敏感数据
描述:此问题已通过改进敏感信息的编辑得到解决。
CVE-2024-44182:麒麟 (@Pwnrin)
苹果图形控制
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:处理恶意制作的文件可能会导致应用程序意外终止
描述:内存初始化问题已通过改进内存处理得到解决。
CVE-2024-44154:趋势科技零日计划的 Michael DePlante (@izobashi)
苹果图形控制
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:处理恶意制作的视频文件可能会导致应用程序意外终止
描述:该问题已通过改进内存处理得到解决。
CVE-2024-40845:Pwn2car 与趋势科技零日计划合作
CVE-2024-40846:趋势科技零日计划的 Michael DePlante (@izobashi)
苹果移动文件完整性
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够绕过隐私偏好设置
描述:此问题已通过改进检查得到解决。
CVE-2024-44164:Mickey Jin (@patch1t)
苹果移动文件完整性
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问受保护的用户数据
描述:权限问题已通过附加限制得到解决。
CVE-2024-40837:麒麟 (@Pwnrin)
苹果移动文件完整性
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问敏感用户数据
描述:此问题已通过附加代码签名限制得到解决。
CVE-2024-40847:Mickey Jin (@patch1t)
苹果移动文件完整性
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:攻击者或许能够读取敏感信息
描述:降级问题已通过附加代码签名限制得到解决。
CVE-2024-40848:Mickey Jin (@patch1t)
苹果移动文件完整性
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够修改文件系统的受保护部分
描述:已通过附加限制解决库注入问题。
CVE-2024-44168:Cisco Talos 的 Claudio Bozzato 和 Francesco Benvenuto
苹果VA
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用程序或许能够读取受限内存
描述:该问题已通过改进内存处理得到解决。
CVE-2024-27860:趋势科技零日计划的 Michael DePlante (@izobashi)
CVE-2024-27861:趋势科技零日计划的 Michael DePlante (@izobashi)
苹果VA
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:处理恶意制作的视频文件可能会导致应用程序意外终止
描述:越界写入问题已通过改进边界检查得到解决。
CVE-2024-40841:趋势科技零日计划的 Michael DePlante (@izobashi)
应用沙盒
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:相机扩展或许能够访问互联网
描述:权限问题已通过附加限制得到解决。
CVE-2024-27795:Halle Winkler,Politepix @hallewinkler
应用沙盒
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用程序或许能够访问应用程序沙盒容器内受保护的文件
描述:权限问题已通过附加限制得到解决。
CVE-2024-44135:Mickey Jin (@patch1t)
档案服务
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用程序或许能够突破沙箱
描述:此问题已通过改进符号链接的处理得到解决。
CVE-2024-44132:Mickey Jin (@patch1t)
自动机
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:Automator Quick Action 工作流程或许能够绕过 防火墙
描述:此问题已通过添加额外的用户同意提示得到解决。
CVE-2024-44128:安东·博格勒
保佑
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够修改文件系统的受保护部分
描述:权限问题已通过附加限制得到解决。
CVE-2024-44151:Mickey Jin (@patch1t)
压缩
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:解压恶意制作的存档可能允许攻击者写入任意文件
描述:通过改进锁定解决了竞争条件。
CVE-2024-27876:Snoolie Keffaber (@0xilis)
控制中心
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够在没有指示器的情况下录制屏幕
描述:该问题已通过改进检查得到解决。
CVE-2024-27869:匿名研究人员
控制中心
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:麦克风或摄像头访问的隐私指示器可能会被错误归因
描述:通过改进状态管理解决了逻辑问题。
CVE-2024-27875:Yiğit Can YILMAZ (@yilmazcanyigit)
复制文件
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用程序或许能够突破沙箱
描述:已通过改进文件处理解决逻辑问题。
CVE-2024-44146:匿名研究人员
计算机辅助系统
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:处理恶意制作的文件可能会导致应用程序意外终止
描述:这是开源代码中的一个漏洞,Apple Software 是受影响的项目之一。 CVE-ID 由第三方分配。请访问 cve.org 了解有关该问题和 CVE-ID 的更多信息。
CVE-2023-4504
磁盘映像
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用程序或许能够突破沙箱
描述:此问题已通过改进文件属性验证得到解决。
CVE-2024-44148:匿名研究人员
码头
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问用户敏感数据
描述:已通过删除敏感数据解决隐私问题。
CVE-2024-44177:匿名研究人员
文件提供者
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问敏感用户数据
描述:此问题已通过改进符号链接验证得到解决。
CVE-2024-44131:Jamf 的 @08Tc3wBB
游戏中心
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问用户敏感数据
描述:通过改进输入验证解决了文件访问问题。
CVE-2024-40850:丹尼斯·托卡列夫 (@illusionofcha0s)
图像捕捉
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问用户的照片库
描述:权限问题已通过附加限制得到解决。
CVE-2024-40831:Mickey Jin (@patch1t)
图像IO
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:处理恶意制作的文件可能会导致应用程序意外终止
描述:越界读取问题已通过改进输入验证得到解决。
CVE-2024-27880:Junsung Lee
图像IO
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:处理图像可能会导致拒绝服务
描述:越界访问问题已通过改进边界检查得到解决。
CVE-2024-44176:ZeroPointer Lab 的 dw0r 与趋势科技零日计划(匿名研究员)合作
安装人员
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够获得 root 权限
描述:该问题已通过改进检查得到解决。
CVE-2024-40861:Mickey Jin (@patch1t)
英特尔显卡驱动程序
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:处理恶意制作的纹理可能会导致应用程序意外终止
描述:已通过改进内存处理解决缓冲区溢出问题。
CVE-2024-44160:趋势科技零日计划的 Michael DePlante (@izobashi)
英特尔显卡驱动程序
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:处理恶意制作的纹理可能会导致应用程序意外终止
描述:已通过改进边界检查解决越界读取问题。
CVE-2024-44161:趋势科技零日计划的 Michael DePlante (@izobashi)
IOSurface加速器
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用程序可能会导致系统意外终止
描述:该问题已通过改进内存处理得到解决。
CVE-2024-44169:安东尼奥·泽基奇
核心
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:网络流量可能泄漏到 VPN 隧道之外
描述:已通过改进检查解决逻辑问题。
CVE-2024-44165:安德鲁·利特维诺夫
核心
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用程序可能会未经授权访问蓝牙
描述:此问题已通过改进状态管理得到解决。
CVE-2024-44191:Alexander Heinrich、SEEMOO、DistriNet、KU Leuven (@vanhoefm)、TU Darmstadt (@Sn0wfreeze) 和 Mathy Vanhoef
libxml2
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:处理恶意制作的 Web 内容可能会导致意外的进程崩溃
描述:通过改进输入验证解决了整数溢出问题。
CVE-2024-44198:OSS-Fuzz,Google 零号项目的 Ned Williamson
邮件账户
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问有关用户联系人的信息
描述:通过改进日志条目的私人数据编辑解决了隐私问题。
CVE-2024-40791:鲁道夫·布鲁内蒂 (@eisw0lf)
地图
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够读取敏感位置信息
描述:已通过改进临时文件的处理解决问题。
CVE-2024-44181:来自复旦大学的 Kirin(@Pwnrin) 和 LFY(@secsys)
mDNS响应器
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用程序可能会导致拒绝服务
描述:已通过改进错误处理解决逻辑错误。
CVE-2024-44183:奥利维尔·莱文
型号输入/输出
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:处理恶意制作的图像可能会导致拒绝服务
描述:这是开源代码中的一个漏洞,Apple Software 是受影响的项目之一。 CVE-ID 由第三方分配。请访问 cve.org 了解有关该问题和 CVE-ID 的更多信息。
CVE-2023-5841
音乐
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问受保护的用户数据
描述:权限问题已通过附加限制得到解决。
CVE-2024-27858:北海的孟章 (鲸落)、进攻安全的 Csaba Fitzl (@theevilbit)
笔记
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够覆盖任意文件
描述:此问题已通过删除易受攻击的代码得到解决。
CVE-2024-44167:ajajfxhj
通知中心
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:恶意应用或许能够访问用户设备上的通知
描述:已通过将敏感数据移至受保护位置解决隐私问题。
CVE-2024-40838:罗马尼亚“Tudor Vianu”国家计算机科学高中的 Brian McNulty、Cristian Dinca、Vaibhav Prajapati
NS颜色
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问受保护的用户数据
描述:访问问题已通过附加沙箱限制得到解决。
CVE-2024-44186:匿名研究人员
开放SSH
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:OpenSSH 中的多个问题
描述:这是开源代码中的一个漏洞,Apple Software 是受影响的项目之一。 CVE-ID 由第三方分配。请访问 cve.org 了解有关该问题和 CVE-ID 的更多信息。
CVE-2024-39894
封装套件
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够修改文件系统的受保护部分
描述:此问题已通过改进符号链接验证得到解决。
CVE-2024-44178:Mickey Jin (@patch1t)
印刷
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:使用打印预览时,未加密的文档可能会写入临时文件
描述:通过改进文件处理解决了隐私问题。
CVE-2024-40826:匿名研究人员
快速浏览
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问受保护的用户数据
描述:权限问题已通过附加限制得到解决。
CVE-2024-44149:SecuRing 的 Wojciech Regula (wojciechregula.blog)、OffSec 的 Csaba Fitzl (@theevilbit)
狩猎之旅
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:访问恶意网站可能会导致用户界面欺骗
描述:此问题已通过改进状态管理得到解决。
CVE-2024-40797:Rifa'i Rejal Maynando
沙盒
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:恶意应用程序或许能够泄露敏感的用户信息
描述:该问题已通过改进检查得到解决。
CVE-2024-44125:Zhongquan Li (@Guluisacat)
沙盒
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:恶意应用程序或许能够访问私人信息
描述:该问题已通过改进检查得到解决。
CVE-2024-44163:Zhongquan Li (@Guluisacat)
安全初始化
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问受保护的用户数据
描述:权限问题已通过附加限制得到解决。
CVE-2024-40801:Zhongquan Li (@Guluisacat)、Pedro José Pereira Vieito (@pvieito),匿名研究员
快捷方式
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问受保护的用户数据
描述:权限问题已通过附加限制得到解决。
CVE-2024-40837:麒麟 (@Pwnrin)
快捷方式
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:快捷方式可能会在未经同意的情况下输出敏感用户数据
描述:此问题已通过改进敏感信息的编辑得到解决。
CVE-2024-44158:麒麟 (@Pwnrin)
快捷方式
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够观察通过快捷方式向用户显示的数据
描述:通过改进临时文件的处理解决了隐私问题。
CVE-2024-40844:NorthSea 的 Kirin (@Pwnrin) 和 luckyu (@uuulucky)
西里
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问用户敏感数据
描述:通过将敏感数据移至更安全的位置解决了隐私问题。
CVE-2024-44170:K宝、LFY (@secsys)、Smi1e、yulige、Cristian Dinca (icmd.tech)、Rodolphe BRUNETTI (@eisw0lf)
须藤
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够修改文件系统的受保护部分
描述:已通过改进检查解决逻辑问题。
CVE-2024-40860:Arsenii Kostromin (0x3c3e)
系统设置
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问用户敏感数据
描述:通过改进日志条目的私人数据编辑解决了隐私问题。
CVE-2024-44152:麒麟 (@Pwnrin)
CVE-2024-44166:来自复旦大学的 Kirin (@Pwnrin) 和 LFY (@secsys)
系统设置
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够读取任意文件
描述:通过改进验证解决了路径处理问题。
CVE-2024-44190:鲁道夫·布鲁内蒂 (@eisw0lf)
TCC
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:在 MDM 托管设备上,应用程序可能能够绕过某些隐私首选项
描述:此问题已通过删除易受攻击的代码得到解决。
CVE-2024-44133:Microsoft 的 Jonathan Bar Or (@yo_yo_yo_jbo)
透明度
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问用户敏感数据
描述:权限问题已通过附加限制得到解决。
CVE-2024-44184:Bohdan Stasiuk (@Bohdan_Stasiuk)
电视应用程序
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问用户敏感数据
描述:权限问题已通过附加限制得到解决。
CVE-2024-40859:进攻性安全部门的 Csaba Fitzl (@theevilbit)
维姆
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:处理恶意制作的文件可能会导致应用程序意外终止
描述:这是开源代码中的一个漏洞,Apple Software 是受影响的项目之一。 CVE-ID 由第三方分配。请访问 cve.org 了解有关该问题和 CVE-ID 的更多信息。
CVE-2024-41957
网络工具包
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:处理恶意制作的 Web 内容可能会导致通用跨站点脚本编写
描述:此问题已通过改进状态管理得到解决。
WebKit Bugzilla:268724
CVE-2024-40857:罗恩·马萨斯
网络工具包
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:访问恶意网站可能会导致地址栏欺骗
描述:该问题已通过改进 UI 得到解决。
WebKit Bugzilla:279451
CVE-2024-40866:HakTrak 的 Hafiizh 和 YoKo Kho (@yokoacc)
网络工具包
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:恶意网站可能会跨源泄露数据
描述:“iframe”元素存在跨域问题。此问题已通过改进安全源跟踪得到解决。
WebKit Bugzilla:279452
CVE-2024-44187:Narendra Bhati,Suma Soft Pvt. 网络安全经理。有限公司,浦那(印度)
无线上网
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:非特权用户或许能够修改受限网络设置
描述:权限问题已通过附加限制得到解决。
CVE-2024-40770:Yiğit Can YILMAZ (@yilmazcanyigit)
无线上网
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用程序可能会导致拒绝服务
描述:该问题已通过改进内存处理得到解决。
CVE-2024-23237:Charly Suchanek
无线上网
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够读取敏感位置信息
描述:此问题已通过改进敏感信息的编辑得到解决。
CVE-2024-44134
无线上网
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:攻击者或许能够强制设备断开与安全网络的连接
描述:信标保护解决了完整性问题。
CVE-2024-40856:Domien Schepers
窗口服务器
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:存在逻辑问题,进程可能能够在未经用户同意的情况下捕获屏幕内容
描述:该问题已通过改进检查得到解决。
CVE-2024-44189:蒂姆·克莱姆
XP保护
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够访问用户敏感数据
描述:通过改进环境变量的验证解决了问题。
CVE-2024-40842:Gergely Kalman (@gergely_kalman)
XP保护
适用于:Mac Studio(2022 年及更新机型)、iMac(2019 年及更新机型)、Mac Pro(2019 年及更新机型)、Mac Mini(2018 年及更新机型)、MacBook Air(2020 年及更新机型)、MacBook Pro(2018 年及更新机型)、和 iMac Pro(2017 年及更高版本)
影响:应用或许能够修改文件系统的受保护部分
描述:该问题已通过改进检查得到解决。
CVE-2024-40843:Koh M. Nakakawa (@tsunek0h)
额外认可
管理框架
我们要感谢 Offective Security 的 Csaba Fitzl (@theevilbit) 提供的帮助。
飞机场
我们要感谢 David Dudok de Wit、Yiğit Can YILMAZ (@yilmazcanyigit) 的帮助。
APFS
我们要感谢 httpstorm.com 的 Georgi Valkov 提供的帮助。
应用商店
我们要感谢 Offective Security 的 Csaba Fitzl (@theevilbit) 提供的帮助。
应用程序套件
我们要感谢 Jamf 的 @08Tc3wBB 提供的帮助。
苹果神经引擎
我们要感谢朱家勋 (@svnswords) 和林明浩 (@Y1nKoc) 的帮助。
自动机
我们要感谢 Koh M. Nakakawa (@tsunek0h) 的帮助。
核心蓝牙
我们要感谢 Onymos Inc. (onymos.com) 的 Nicholas C. 提供的帮助。
核心服务
我们要感谢罗马尼亚“Tudor Vianu”国立计算机科学高中的 Cristian Dinca、Kirin (@Pwnrin) 和 7feilee、Snoolie Keffaber (@0xilis)、Tal Lossos、Zhongquan Li (@Guluisacat) 提供的帮助。
磁盘工具
我们要感谢 Kandji 的 Csaba Fitzl (@theevilbit) 提供的帮助。
文件提供者
我们要感谢 Kirin (@Pwnrin) 的帮助。
基础
我们要感谢 Ostorlab 的帮助。
核心
我们要感谢 PixiePoint Security 的 Braxton Anderson、Fakhri Zulkifli (@d0lph1n98) 提供的帮助。
libxpc
我们要感谢 F-Secure 的 Rasmus Sten(Mastodon:@pajp@blog.dll.nu)提供的帮助。
LLVM
我们要感谢阿姆斯特丹大学的 Victor Duta、加州大学圣巴巴拉分校的 Fabio Pagani、阿姆斯特丹大学的 Cristiano Giuffrida、Marius Muench 和 Fabian Freyer 提供的帮助。
地图
我们要感谢 Kirin (@Pwnrin) 的帮助。
音乐
我们要感谢databaselog.com/khiemtran 的Khiem Tran、复旦大学的K宝和LFY@secsys、Yiğit Can YILMAZ (@yilmazcanyigit) 的帮助。
通知
我们要感谢一位匿名研究人员的帮助。
封装套件
我们要感谢 OffSec 的 Csaba Fitzl (@theevilbit)、Mickey Jin (@patch1t)、Zhongquan Li (@Guluisacat) 的帮助。
密码
我们要感谢 Richard Hyunho Im (@r1cheeta) 的帮助。
照片
我们要感谢印度博帕尔 Lakshmi Narain 技术学院的 Abhay Kailasia (@abhay_kailasia)、Harsh Tyagi 和 Leandro Chaves 提供的帮助。
播客
我们要感谢 Yiğit Can YILMAZ (@yilmazcanyigit) 的帮助。
快速浏览
感谢腾讯安全玄武实验室 (xlab.tencent.com) 的霍志鹏 (@R3dF09) 提供的帮助。
狩猎之旅
我们要感谢 HakTrak 的 Hafiizh 和 YoKo Kho (@yokoacc)、Junsung Lee、Shaheen Fazim 提供的帮助。
沙盒
我们要感谢罗马尼亚“Tudor Vianu”国立计算机科学高中的 Cristian Dinca、NorthSea 的 Kirin (@Pwnrin)、SecuRing 的 Wojciech Regula (wojciechregula.blog)、Yiğit Can YILMAZ (@yilmazcanyigit) 的帮助。
屏幕截图
我们要感谢匿名研究员 Joshua Jewett (@JoshJewett33)、Yiğit Can YILMAZ (@yilmazcanyigit) 的帮助。
快捷方式
我们要感谢罗马尼亚“Tudor Vianu”国立计算机科学高中的 Cristian Dinca、匿名研究员 Jacob Braun 的帮助。
西里
我们要感谢 Rohan Paudel 的协助。
系统迁移
我们要感谢匿名研究员杰米·威克伦德 (Jamey Wicklund) 和凯文·詹森 (Kevin Jansen) 提供的帮助。
TCC
我们要感谢 Noah Gregory (wts.dev)、Vaibhav Prajapati 的帮助。
用户界面工具包
我们要感谢 Andr.Ess 的帮助。
语音备忘录
我们要感谢 Lisa B 的帮助。
网络工具包
我们要感谢 Avi Lumelsky、Uri Katz(Oligo Security)、Johan Carlsson(joaxcar)提供的帮助。
无线上网
我们要感谢 Moveworks.ai 的 Antonio Zekic (@antoniozekic) 和 ant4g0nist、Tim Michaud (@TimGMichaud) 提供的帮助。
窗口服务器
我们要感谢匿名研究员 Felix Kratz 的帮助。
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)