Tietoja macOS Ventura 13.7.7:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Ventura 13.7.7:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
macOS Ventura 13.7.7
Julkaistu 29.7.2025
Admin Framework
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2025-43191: Ryan Dowd (@_rdowd)
afclip
Saatavuus: macOS Ventura
Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2025-43186: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
AMD
Saatavuus: macOS Ventura
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2025-43244: ABC Research s.r.o.
AppleMobileFileIntegrity
Saatavuus: macOS Ventura
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-31243: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Ventura
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2025-43249: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.
CVE-2025-43245: Mickey Jin (@patch1t)
CFNetwork
Saatavuus: macOS Ventura
Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.
Kuvaus: use-after-free-ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2025-43222: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)
CFNetwork
Saatavuus: macOS Ventura
Vaikutus: käyttäjä saattoi pystyä muuttamaan rajoitettuja verkkoasetuksia ilman asianmukaisia käyttöoikeuksia.
Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2025-43223: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)
copyfile
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2025-43220: Mickey Jin (@patch1t)
Core Services
Saatavuus: macOS Ventura
Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: käyttöoikeusongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2025-43199: Gergely Kalman (@gergely_kalman), nimetön tutkija
CoreMedia
Saatavuus: macOS Ventura
Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2025-43210: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreServices
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: Ympäristömuuttujien käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2025-43195: 风沐云烟 (@binary_fmyy) ja Minghao Lin (@Y1nKoc)
Disk Images
Saatavuus: macOS Ventura
Vaikutus: hdiutil-komennon suorittaminen saattoi odottamatta suorittaa mielivaltaista koodia.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2025-43187: 风沐云烟 (@binary_fmyy) ja Minghao Lin (@Y1nKoc)
file
Saatavuus: macOS Ventura
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2025-43254: 2ourc3 | Salim Largo
File Bookmark
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2025-43261: nimetön tutkija
Find My
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-31279: Dawuge (Shuffle Team)
Finder
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2025-24119: nimetön tutkija
GPU Drivers
Saatavuus: macOS Ventura
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2025-43255: nimetön henkilö yhteistyössä Trend Micro Zero Day Initiativen kanssa
CVE-2025-43284: Trend Micro Zero Day Initiativen parissa työskentelevä nimetön henkilö
Kohta päivitetty 28.8.2025
ICU
Saatavuus: macOS Ventura
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2025-43209: Gary Kwong yhteistyössä Trend Micro Zero Day Initiativen kanssa
Kernel
Saatavuus: macOS Ventura
Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2025-24224: Tony Iskow (@Tybbow)
LaunchServices
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2025-24119: nimetön tutkija
libxpc
Saatavuus: macOS Ventura
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2025-43196: nimetön tutkija
NetAuth
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2025-43275: Csaba Fitzl (@theevilbit, Kandji)
Notes
Saatavuus: macOS Ventura
Vaikutus: appi saattoi saada pääsyn lähiverkkoon luvattomasti.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2025-43270: Minqiang Gui
Notes
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.
CVE-2025-43225: Kirin (@Pwnrin)
NSSpellChecker
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-43266: Noah Gregory (wts.dev)
PackageKit
Saatavuus: macOS Ventura
Vaikutus: haitallinen appi, jolla on pääkäyttöoikeudet, saattoi pystyä muokkaamaan järjestelmätiedostojen sisältöä.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-43247: Mickey Jin (@patch1t)
PackageKit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2025-43194: Mickey Jin (@patch1t)
PackageKit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-43232: Koh M. Nakagawa (@tsunek0h), Csaba Fitzl (@theevilbit, Kandji) ja Gergely Kalman (@gergely_kalman)
Power Management
Saatavuus: macOS Ventura
Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2025-43236: Dawuge (Shuffle Team)
SceneKit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä lukemaan tiedostoja sen hiekkalaatikon ulkopuolella.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-43241: Mickey Jin (@patch1t)
Security
Saatavuus: macOS Ventura
Vaikutus: HTTPS-välipalvelimena toimiva haitallinen appi saattoi päästä käsiksi arkaluonteisiin käyttäjätietoihin.
Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.
CVE-2025-43233: Wojciech Regula (SecuRing, wojciechregula.blog)
SecurityAgent
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2025-43193: Dawuge (Shuffle Team)
SharedFileList
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2025-43250: Yuebin Sun (@yuebinsun2020), Mickey Jin (@patch1t)
Shortcuts
Saatavuus: macOS Ventura
Vaikutus: pikakomento saattoi pystyä ohittamaan arkaluontoisia Pikakomennot-apin asetuksia.
Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.
CVE-2025-43184: Csaba Fitzl (@theevilbit, Kandji)
Single Sign-On
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.
CVE-2025-43197: Shang-De Jiang ja Kazma Ye (CyCraft Technology)
sips
Saatavuus: macOS Ventura
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2025-43239: Nikolai Skliarenko (Trend Micro Zero Day Initiative)
Software Update
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-43243: Mickey Jin (@patch1t) ja Keith Yeo (@kyeojy, Team Orca of Sea Security)
System Settings
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.
CVE-2025-43206: Zhongquan Li (@Guluisacat)
WindowServer
Saatavuus: macOS Ventura
Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.
CVE-2025-43259: Martti Hütt
Xsan
Saatavuus: macOS Ventura
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2025-43238: nimetön tutkija
Kiitokset
Device Management
Haluamme kiittää avusta Al Karakia.
Game Center
Haluamme kiittää avusta YingQi Shitä (@Mas0nShi, DBAppSecurity's WeBin lab).
Shortcuts
Haluamme kiittää avusta Dennis Kniepiä.
WebDAV
Haluamme kiittää avusta Christian Kohlschütteria.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.