Om sikkerhedsindholdet i macOS Ventura 13.6.8

I dette dokument beskrives sikkerhedsindholdet i macOS Ventura 13.6.8.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Ventura 13.6.8

APFS

Fås til: macOS Ventura

Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst via forbedret begrænsning af adgangen til databeholdere.

CVE-2024-40783: Csaba Fitzl (@theevilbit) fra Kandji

Apple Neural Engine

Fås til: macOS Ventura

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-27826: Minghao Lin og Ye Zhang (@VAR10CK) fra Baidu Security

AppleMobileFileIntegrity

Fås til: macOS Ventura

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Et nedgraderingsproblem er løst ved yderligere kodesigneringsrestriktioner.

CVE-2024-40774: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Fås til: macOS Ventura

Effekt: En app kan forårsage, at der lækkes følsomme brugeroplysninger

Beskrivelse: Et nedgraderingsproblem er løst ved yderligere kodesigneringsrestriktioner.

CVE-2024-40775: Mickey Jin (@patch1t)

AppleVA

Fås til: macOS Ventura

Effekt: Behandling af et skadeligt arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-27877: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative

CoreGraphics

Fås til: macOS Ventura

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-40799: D4m0n

CoreMedia

Fås til: macOS Ventura

Effekt: Behandling af et skadeligt videoarkiv kan føre til pludselig applukning

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2024-27873: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

curl

Fås til: macOS Ventura

Effekt: Flere sikkerhedsproblemer i curl

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2024-2004

CVE-2024-2379

CVE-2024-2398

CVE-2024-2466

DesktopServices

Fås til: macOS Ventura

Effekt: En app kan muligvis overskrive vilkårlige arkiver

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-40827: en anonym programmør

dyld

Fås til: macOS Ventura

Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2024-40815: w0wbox

ImageIO

Fås til: macOS Ventura

Effekt: Behandling af et billede kan føre til DoS-angreb

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Fås til: macOS Ventura

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-40806: Yisumi

ImageIO

Fås til: macOS Ventura

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2024-40784: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative, og Gandalf4a

Kernel

Fås til: macOS Ventura

Effekt: En lokal hacker kan muligvis forårsage uventet nedlukning af systemet

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.

CVE-2024-40816: sqrtpwn

Kernel

Fås til: macOS Ventura

Effekt: En lokal hacker kan muligvis forårsage uventet nedlukning af systemet

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University

Keychain Access

Fås til: macOS Ventura

Effekt: En hacker kan forårsage uventet applukning

Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.

CVE-2024-40803: Patrick Wardle fra DoubleYou & the Objective-See Foundation

NetworkExtension

Fås til: macOS Ventura

Effekt: Privat browser kan lække privat browserhistorik

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2024-40796: Adam M.

OpenSSH

Fås til: macOS Ventura

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2024-6387

PackageKit

Fås til: macOS Ventura

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-40781: Mickey Jin (@patch1t)

CVE-2024-40802: Mickey Jin (@patch1t)

PackageKit

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-40823: Zhongquan Li (@Guluisacat) fra Dawn Security Lab hos JingDong

PackageKit

Fås til: macOS Ventura

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2024-27882: Mickey Jin (@patch1t)

CVE-2024-27883: Csaba Fitzl (@theevilbit) fra Kandji og Mickey Jin (@patch1t)

Restore Framework

Fås til: macOS Ventura

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.

CVE-2024-40800: Claudio Bozzato og Francesco Benvenuto fra Cisco Talos.

Safari

Fås til: macOS Ventura

Effekt: Et besøg på et websted, som bruger skadeligt indhold, kan medføre manipulering med brugergrænsefladen

Beskrivelse: Problemet er løst ved forbedret håndtering af brugergrænsefladen.

CVE-2024-40817: Yadhu Krishna M og Narendra Bhati, Manager fra Cyber Security At Suma Soft Pvt. Ltd, Pune (Indien)

Scripting Bridge

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til oplysninger om en brugers kontakter

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2024-27881: Kirin (@Pwnrin)

Security

Fås til: macOS Ventura

Effekt: En appudvidelse fra en anden producent modtager muligvis ikke de rette sandbox-begrænsninger

Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.

CVE-2024-40821: Joshua Jones

Security

Fås til: macOS Ventura

Effekt: En app kan muligvis læse browserhistorikken i Safari

Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.

CVE-2024-40798: Adam M.

Shortcuts

Fås til: macOS Ventura

Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-40833: en anonym programmør

CVE-2024-40807: en anonym programmør

CVE-2024-40835: en anonym programmør

Shortcuts

Fås til: macOS Ventura

Effekt: En genvej kan muligvis omgå følsomme indstillinger for appen Genveje

Beskrivelse: Dette problem er løst ved at tilføje en yderligere prompt for brugerindhold.

CVE-2024-40834: Marcio Almeida fra Tanto Security

Shortcuts

Fås til: macOS Ventura

Effekt: En genvej kan muligvis omgå krav til internettilladelser

Beskrivelse: Dette problem er løst ved at tilføje en yderligere prompt for brugerindhold.

CVE-2024-40787: en anonym programmør

Shortcuts

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Fås til: macOS Ventura

Effekt: En genvej kan muligvis omgå krav til internettilladelser

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-40809: en anonym programmør

CVE-2024-40812: en anonym programmør

Siri

Fås til: macOS Ventura

Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2024-40818: Bistrit Dahal og Srijan Poudel

Siri

Fås til: macOS Ventura

Effekt: En hacker kan muligvis se følsomme brugeroplysninger

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-40786: Bistrit Dahal

Siri

Fås til: macOS Ventura

Effekt: En sandbox-app kan muligvis få adgang til følsomme brugerdata i systemlogarkiver

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2024-44205: Jiahui Hu (梅零落) og Meng Zhang (鲸落) fra NorthSea

StorageKit

Fås til: macOS Ventura

Effekt: En skadelig app kan muligvis få adgang til rodrettigheder

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-40828: Mickey Jin (@patch1t)

Time Zone

Fås til: macOS Ventura

Effekt: En hacker kan muligvis læse oplysninger, der tilhører en anden bruger

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2024-23261: Matthew Loewen

VoiceOver

Fås til: macOS Ventura

Effekt: En bruger kan muligvis se begrænset indhold på låseskærmen

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal, Indien

Yderligere anerkendelser

Image Capture

Vi vil gerne takke en anonym programmør for hjælpen.

Shortcuts

Vi vil gerne takke en anonym programmør for hjælpen.