Podatność w systemach macOS polega na nieprawidłowym zarządzaniu uprawnieniami, co pozwala aplikacji na włączenie funkcji przechowywania danych w iCloud bez wiedzy i zgody użytkownika. Pomimo oceny CVSS 9.8, realne zagrożenie dotyczy przede wszystkim naruszenia prywatności i integralności danych.
▸ Pokaż oryginał (EN)
A permissions issue was addressed with additional restrictions. This issue is fixed in macOS Sequoia 15.4, macOS Sonoma 14.7.5, macOS Ventura 13.7.5. An app may be able to enable iCloud storage features without user consent.
Błąd wynika z niewystarczających ograniczeń (CWE-276 — nieprawidłowo przyznane domyślne uprawnienia) w mechanizmie kontroli dostępu systemu macOS. Aplikacja może wykorzystać tę lukę do samodzielnego aktywowania funkcji iCloud bez wymagania interakcji z użytkownikiem ani posiadania podwyższonych uprawnień. Apple naprawiło problem poprzez wprowadzenie dodatkowych restrykcji w obsłudze uprawnień.
Atakujący lub złośliwa aplikacja może bez wiedzy użytkownika włączyć funkcje przechowywania danych w iCloud, co może prowadzić do niezamierzonego przesyłania prywatnych danych do chmury oraz naruszenia kontroli nad własną prywatnością i danymi.
Należy zaktualizować system do wersji macOS Sequoia 15.4, macOS Sonoma 14.7.5 lub macOS Ventura 13.7.5 zgodnie z informacjami opublikowanymi przez Apple pod adresami support.apple.com/en-us/122373, /122374 oraz /122375
Apple macOS Sequoia przed wersją 15.4, macOS Sonoma przed wersją 14.7.5, macOS Ventura przed wersją 13.7.5
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApple macOS
OSApple13.0 – 13.7.5 (bez)14.0 – 14.7.5 (bez)15.0 – 15.4 (bez)
Powiązane podatności
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu
Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach
Apple — memory corruption (RCE) w przetwarzaniu strumieni audio
Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki