Уязвимость обхода настроек конфиденциальности приложением через понижение уровня безопасности в macOS, iOS, iPadOS, watchOS и tvOS
Описание
Проблема, связанная с понижением уровня безопасности (downgrade), решена путем введения дополнительных ограничений для подписи кода. Приложение может обойти настройки конфиденциальности.
Затронутые версии ПО
- macOS Ventura < 13.6.8
- macOS Monterey < 12.7.6
- iOS < 17.6
- iPadOS < 17.6
- watchOS < 10.6
- tvOS < 17.6
- macOS Sonoma < 14.6
Тип уязвимости
Обход защиты (настроек конфиденциальности)
Ссылки
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 12.7.6 (исключая)Версия от 13.0 (включая) до 13.6.8 (исключая)Версия от 14.0 (включая) до 14.6 (исключая)
Одно из
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
Конфигурация 2Версия до 17.6 (исключая)
cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:*
Конфигурация 3Версия до 17.6 (исключая)
cpe:2.3:o:apple:ipados:*:*:*:*:*:*:*:*
Конфигурация 4Версия до 10.6 (исключая)
cpe:2.3:o:apple:watchos:*:*:*:*:*:*:*:*
Конфигурация 5Версия до 17.6 (исключая)
cpe:2.3:o:apple:tvos:*:*:*:*:*:*:*:*
EPSS
Процентиль: 2%
0.00013
Низкий
7.1 High
CVSS3
5.9 Medium
CVSS3
Дефекты
NVD-CWE-noinfo
Связанные уязвимости
CVSS3: 7.1
github
больше 1 года назад
A downgrade issue was addressed with additional code-signing restrictions. This issue is fixed in macOS Ventura 13.6.8, macOS Monterey 12.7.6, iOS 17.6 and iPadOS 17.6, watchOS 10.6, tvOS 17.6, macOS Sonoma 14.6. An app may be able to bypass Privacy preferences.
EPSS
Процентиль: 2%
0.00013
Низкий
7.1 High
CVSS3
5.9 Medium
CVSS3
Дефекты
NVD-CWE-noinfo