-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in Apple MacOS
Advisory ID : NCSC-2024-0381
Versie : 1.00
Kans : medium
CVE ID : CVE-2023-4504, CVE-2023-5841, CVE-2024-23237,
CVE-2024-27795, CVE-2024-27858, CVE-2024-27860,
CVE-2024-27861, CVE-2024-27869, CVE-2024-27875,
CVE-2024-27876, CVE-2024-27880, CVE-2024-27886,
CVE-2024-39894, CVE-2024-40770, CVE-2024-40791,
CVE-2024-40797, CVE-2024-40801, CVE-2024-40814,
CVE-2024-40825, CVE-2024-40826, CVE-2024-40831,
CVE-2024-40837, CVE-2024-40838, CVE-2024-40841,
CVE-2024-40842, CVE-2024-40843, CVE-2024-40844,
CVE-2024-40845, CVE-2024-40846, CVE-2024-40847,
CVE-2024-40848, CVE-2024-40850, CVE-2024-40856,
CVE-2024-40857, CVE-2024-40859, CVE-2024-40860,
CVE-2024-40861, CVE-2024-40866, CVE-2024-41957,
CVE-2024-44125, CVE-2024-44128, CVE-2024-44129,
CVE-2024-44130, CVE-2024-44131, CVE-2024-44132,
CVE-2024-44133, CVE-2024-44134, CVE-2024-44135,
CVE-2024-44146, CVE-2024-44148, CVE-2024-44149,
CVE-2024-44151, CVE-2024-44152, CVE-2024-44153,
CVE-2024-44154, CVE-2024-44158, CVE-2024-44160,
CVE-2024-44161, CVE-2024-44163, CVE-2024-44164,
CVE-2024-44165, CVE-2024-44166, CVE-2024-44167,
CVE-2024-44168, CVE-2024-44169, CVE-2024-44170,
CVE-2024-44176, CVE-2024-44177, CVE-2024-44178,
CVE-2024-44181, CVE-2024-44182, CVE-2024-44183,
CVE-2024-44184, CVE-2024-44186, CVE-2024-44187,
CVE-2024-44188, CVE-2024-44189, CVE-2024-44190,
CVE-2024-44191, CVE-2024-44198
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Improper Authorization
Exposure of Sensitive Information to an Unauthorized
Actor
Permissive Cross-domain Policy with Untrusted Domains
Improper Access Control
Observable Timing Discrepancy
Heap-based Buffer Overflow
Insecure Temporary File
Observable Discrepancy
CWE-275
Improper Resource Shutdown or Release
CWE-265
Integer Overflow or Wraparound
UNIX Symbolic Link (Symlink) Following
Double Free
Improper Limitation of a Pathname to a Restricted
Directory ('Path Traversal')
Improper Neutralization of Input During Web Page
Generation ('Cross-site Scripting')
Uitgiftedatum : 20240926
Toepassing : apple macos_sequoia__15
apple macos_sonoma__14.7
apple macos_ventura__13.7
Versie(s) :
Platform(s) :
Beschrijving
Apple heeft kwetsbaarheden verholpen in MacOS
Een kwaadwillende kan de kwetsbaarheden misbruiken om aanvallen uit
te voeren die kunnen leiden tot de volgende categorieën schade:
- Denial-of-Service (DoS)
- Manipulatie van gegevens
- Omzeilen van beveiligingsmaatregel
- Toegang tot gevoelige gegevens
- Toegang tot systeemgegevens
Voor succesvol misbruik moet de kwaadwillende lokale toegang hebben,
het slachtoffer misleiden een malafide app te downloaden en
installeren, of een malafide bestand te openen of link te volgen.
Mogelijke oplossingen
Apple heeft updates uitgebracht om de kwetsbaarheden te verhelpen in
MacOS 13.7, 14.7 en 15. Zie bijgevoegde referenties voor meer
informatie.
Referenties:
Reference - certbundde; cveprojectv5; hkcert; nvd
https://support.apple.com/en-us/121247
Reference - certbundde; cveprojectv5; hkcert; nvd
https://support.apple.com/en-us/121234
Reference - certbundde; cveprojectv5; hkcert; nvd
https://support.apple.com/en-us/121238
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=JGby
-----END PGP SIGNATURE-----
