Om sikkerhedsindholdet i macOS Ventura 13.6.8
I dette dokument beskrives sikkerhedsindholdet i macOS Ventura 13.6.8.
Om Apple-sikkerhedsopdateringer
Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
macOS Ventura 13.6.8
Udgivet 29. juli 2024
APFS
Fås til: macOS Ventura
Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet er løst via forbedret begrænsning af adgangen til databeholdere.
CVE-2024-40783: Csaba Fitzl (@theevilbit) fra Kandji
Apple Neural Engine
Fås til: macOS Ventura
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.
CVE-2024-27826: Minghao Lin og Ye Zhang (@VAR10CK) fra Baidu Security
AppleMobileFileIntegrity
Fås til: macOS Ventura
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et nedgraderingsproblem er løst ved yderligere kodesigneringsrestriktioner.
CVE-2024-40774: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Fås til: macOS Ventura
Effekt: En app kan forårsage, at der lækkes følsomme brugeroplysninger
Beskrivelse: Et nedgraderingsproblem er løst ved yderligere kodesigneringsrestriktioner.
CVE-2024-40775: Mickey Jin (@patch1t)
AppleVA
Fås til: macOS Ventura
Effekt: Behandling af et skadeligt arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold
Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.
CVE-2024-27877: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative
CoreGraphics
Fås til: macOS Ventura
Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning
Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.
CVE-2024-40799: D4m0n
CoreMedia
Fås til: macOS Ventura
Effekt: Behandling af et skadeligt videoarkiv kan føre til pludselig applukning
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2024-27873: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations
curl
Fås til: macOS Ventura
Effekt: Flere sikkerhedsproblemer i curl
Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
Fås til: macOS Ventura
Effekt: En app kan muligvis overskrive vilkårlige arkiver
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2024-40827: en anonym programmør
dyld
Fås til: macOS Ventura
Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse
Beskrivelse: En konkurrencetilstand er løst via yderligere validering.
CVE-2024-40815: w0wbox
ImageIO
Fås til: macOS Ventura
Effekt: Behandling af et billede kan føre til DoS-angreb
Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Fås til: macOS Ventura
Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning
Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.
CVE-2024-40806: Yisumi
ImageIO
Fås til: macOS Ventura
Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2024-40784: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative, og Gandalf4a
Kernel
Fås til: macOS Ventura
Effekt: En lokal hacker kan muligvis forårsage uventet nedlukning af systemet
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.
CVE-2024-40816: sqrtpwn
Kernel
Fås til: macOS Ventura
Effekt: En lokal hacker kan muligvis forårsage uventet nedlukning af systemet
Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.
CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University
Keychain Access
Fås til: macOS Ventura
Effekt: En hacker kan forårsage uventet applukning
Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.
CVE-2024-40803: Patrick Wardle fra DoubleYou & the Objective-See Foundation
NetworkExtension
Fås til: macOS Ventura
Effekt: Privat browser kan lække privat browserhistorik
Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.
CVE-2024-40796: Adam M.
OpenSSH
Fås til: macOS Ventura
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.
CVE-2024-6387
PackageKit
Fås til: macOS Ventura
Effekt: En lokal hacker kan opnå hævede rettigheder
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
Fås til: macOS Ventura
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2024-40823: Zhongquan Li (@Guluisacat) fra Dawn Security Lab hos JingDong
PackageKit
Fås til: macOS Ventura
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit) fra Kandji og Mickey Jin (@patch1t)
Restore Framework
Fås til: macOS Ventura
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.
CVE-2024-40800: Claudio Bozzato og Francesco Benvenuto fra Cisco Talos.
Safari
Fås til: macOS Ventura
Effekt: Et besøg på et websted, som bruger skadeligt indhold, kan medføre manipulering med brugergrænsefladen
Beskrivelse: Problemet er løst ved forbedret håndtering af brugergrænsefladen.
CVE-2024-40817: Yadhu Krishna M og Narendra Bhati, Manager fra Cyber Security At Suma Soft Pvt. Ltd, Pune (Indien)
Scripting Bridge
Fås til: macOS Ventura
Effekt: En app kan muligvis få adgang til oplysninger om en brugers kontakter
Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.
CVE-2024-27881: Kirin (@Pwnrin)
Security
Fås til: macOS Ventura
Effekt: En appudvidelse fra en anden producent modtager muligvis ikke de rette sandbox-begrænsninger
Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.
CVE-2024-40821: Joshua Jones
Security
Fås til: macOS Ventura
Effekt: En app kan muligvis læse browserhistorikken i Safari
Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.
CVE-2024-40798: Adam M.
Shortcuts
Fås til: macOS Ventura
Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren
Beskrivelse: Et logikproblem er løst via forbedret kontrol.
CVE-2024-40833: en anonym programmør
CVE-2024-40807: en anonym programmør
CVE-2024-40835: en anonym programmør
Shortcuts
Fås til: macOS Ventura
Effekt: En genvej kan muligvis omgå følsomme indstillinger for appen Genveje
Beskrivelse: Dette problem er løst ved at tilføje en yderligere prompt for brugerindhold.
CVE-2024-40834: Marcio Almeida fra Tanto Security
Shortcuts
Fås til: macOS Ventura
Effekt: En genvej kan muligvis omgå krav til internettilladelser
Beskrivelse: Dette problem er løst ved at tilføje en yderligere prompt for brugerindhold.
CVE-2024-40787: en anonym programmør
Shortcuts
Fås til: macOS Ventura
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Fås til: macOS Ventura
Effekt: En genvej kan muligvis omgå krav til internettilladelser
Beskrivelse: Et logikproblem er løst via forbedret kontrol.
CVE-2024-40809: en anonym programmør
CVE-2024-40812: en anonym programmør
Siri
Fås til: macOS Ventura
Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata
Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.
CVE-2024-40818: Bistrit Dahal og Srijan Poudel
Siri
Fås til: macOS Ventura
Effekt: En hacker kan muligvis se følsomme brugeroplysninger
Beskrivelse: Problemet er løst via forbedret statusadministration.
CVE-2024-40786: Bistrit Dahal
Siri
Fås til: macOS Ventura
Effekt: En sandbox-app kan muligvis få adgang til følsomme brugerdata i systemlogarkiver
Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.
CVE-2024-44205: Jiahui Hu (梅零落) og Meng Zhang (鲸落) fra NorthSea
Post tilføjet 15. oktober 2024
StorageKit
Fås til: macOS Ventura
Effekt: En skadelig app kan muligvis få adgang til rodrettigheder
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2024-40828: Mickey Jin (@patch1t)
Time Zone
Fås til: macOS Ventura
Effekt: En hacker kan muligvis læse oplysninger, der tilhører en anden bruger
Beskrivelse: Et logikproblem er løst via forbedret statusadministration.
CVE-2024-23261: Matthew Loewen
VoiceOver
Fås til: macOS Ventura
Effekt: En bruger kan muligvis se begrænset indhold på låseskærmen
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal, Indien
Yderligere anerkendelser
Image Capture
Vi vil gerne takke en anonym programmør for hjælpen.
Shortcuts
Vi vil gerne takke en anonym programmør for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.