Tietoja macOS Ventura 13.7.6:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Ventura 13.7.6:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Ventura 13.7.6

afpfs

Saatavuus: macOS Ventura

Vaikutus: haitallisen jaetun AFP-verkkoresurssin käyttöönotto saattaa johtaa järjestelmän kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-31240: Dave G.

CVE-2025-31237: Dave G.

AppleJPEG

Saatavuus: macOS Ventura

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-31251: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Saatavuus: macOS Ventura

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31235: Dillon Franke yhteistyössä Google Project Zeron kanssa

CoreAudio

Saatavuus: macOS Ventura

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31208: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

Saatavuus: macOS Ventura

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-31196: wac yhteistyössä Trend Micro Zero Day Initiativen kanssa

CoreGraphics

Saatavuus: macOS Ventura

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-31209: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

Saatavuus: macOS Ventura

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31239: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia

Saatavuus: macOS Ventura

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-31233: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

DiskArbitration

Saatavuus: macOS Ventura

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: ongelma on ratkaistu lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2025-30453: Csaba Fitzl (@theevilbit, Kandji) ja nimetön tutkija

DiskArbitration

Saatavuus: macOS Ventura

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24258: Csaba Fitzl (@theevilbit, Kandji) ja nimetön tutkija

iCloud Document Sharing

Saatavuus: macOS Ventura

Vaikutus: hyökkääjä pystyi mahdollisesti ottamaan käyttöön iCloud-kansion jakamisen ilman todentamista.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-30448: Dayton Pidhirney (Atredis Partners) sekä nimimerkit Lyutoon ja YenKoc

Installer

Saatavuus: macOS Ventura

Vaikutus: eristetty appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-31232: nimetön tutkija

Kernel

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Saatavuus: macOS Ventura

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-31219: Michael DePlante (@izobashi) Ja Lucas Leong (@_wmliang_) (Trend Micro Zero Day Initiative)

Kernel

Saatavuus: macOS Ventura

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-31241: Christian Kohlschütter

libexpat

Saatavuus: macOS Ventura

Vaikutus: useita libexpat-ongelmia, mukaan lukien apin odottamaton sulkeutuminen tai mielivaltaisen koodin suorittaminen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-8176

Libinfo

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä ohittamaan ASLR:n.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-30440: Paweł Płatek (Trail of Bits)

mDNSResponder

Saatavuus: macOS Ventura

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Mobile Device Service

Saatavuus: macOS Ventura

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: syötteen vahvistusongelma on ratkaistu poistamalla haavoittuva koodi.

CVE-2025-24274: nimetön tutkija

Notification Center

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2025-24142: LFY@secsys (Fudan University)

Pro Res

Saatavuus: macOS Ventura

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-31245: wac

Sandbox

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-31224: Csaba Fitzl (@theevilbit, Kandji)

Security

Saatavuus: macOS Ventura

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-31221: Dave G.

Security

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään käyttäjän iCloud-avainnippuun liittyviä käyttäjätunnuksia ja verkkosivustoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-31213: Kirin (@Pwnrin) ja 7feilee

SharedFileList

Saatavuus: macOS Ventura

Vaikutus: hyökkääjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2025-31247: nimetön tutkija

SoftwareUpdate

Saatavuus: macOS Ventura

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2025-30442: nimetön tutkija

StoreKit

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2025-31242: Eric Dorphy (Twin Cities App Dev LLC)

Weather

Saatavuus: macOS Ventura

Vaikutus: haitallinen appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2025-31220: Adam M.

WebContentFilter

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24155: nimetön tutkija

Kiitokset

Kernel

Haluamme kiittää avusta nimetöntä tutkijaa.