מידע על תוכן האבטחה של macOS Ventura 13.7.3
מסמך זה מתאר את תוכן האבטחה של macOS Ventura 13.7.3.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
macOS Ventura 13.7.3
הופץ ב-27 בינואר 2025
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית שנמוך טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת למידע על אנשי הקשר של משתמש
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2025-24100: Kirin (@Pwnrin)
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2025-24114: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2025-24121: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית שנמוך המשפיעה על מחשבי Mac שמבוססים על Intel טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2025-24122: Mickey Jin (@patch1t)
ARKit
זמין עבור: macOS Ventura
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu ו-Xingwei Lin מ-Zhejiang University
Audio
זמין עבור: macOS Ventura
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.
CVE-2025-24106: Wang Yu מ-Cyberserval
הרישום עודכן ב-28 באוגוסט 2025
Contacts
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לאנשי הקשר
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-44172: Kirin (@Pwnrin)
CoreMedia
זמין עבור: macOS Ventura
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24123: Desmond יחד עם Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car ו-Rotiple(HyeongSeok Jang) יחד עם Trend Micro Zero Day Initiative
CoreRoutine
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לזהות את המיקום הנוכחי של המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24102: Kirin (@Pwnrin)
iCloud Photo Library
זמין עבור: macOS Ventura
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones
ImageIO
זמין עבור: macOS Ventura
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-24086: DongJun Kim (@smlijun) ו-JongSeong Kim (@nevul37) ב-Enki WhiteHat, D4m0n
LaunchServices
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2025-24094: חוקר אנונימי
LaunchServices
זמין עבור: macOS Ventura
השפעה: יישום עשוי להצליח לקרוא קבצים מחוץ לארגז החול
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2025-24115: חוקר אנונימי
LaunchServices
זמין עבור: macOS Ventura
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.
CVE-2025-24116: חוקר אנונימי
libxslt
זמין עבור: macOS Ventura
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-55549: Ivan Fratric מ-Google Project Zero
CVE-2025-24855: Ivan Fratric מ-Google Project Zero
הרשומה נוספה ב‑16 במאי 2025
Login Window
זמין עבור: macOS Ventura
השפעה: ייתכן שיישום זדוני יוכל ליצור קישורים סימבוליים לאזורים מוגנים בדיסק
תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2025-24136: 风 (binary_fmyy) ו-Minghao Lin (@Y1nKoc)
הרשומה עודכנה ב‑16 במאי 2025
PackageKit
זמין עבור: macOS Ventura
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24099: Mickey Jin (@patch1t)
הרשומה נוספה ב-29 בינואר 2025
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)
Perl
זמין עבור: macOS Ventura
השפעה: ייתכן שמשתמש מקומי יוכל לשנות חלקים מוגנים במערכת הקבצים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24183: Arsenii Kostromin (0x3c3e)
הרשומה נוספה ב‑16 במאי 2025
Photos Storage
זמין עבור: macOS Ventura
השפעה: מחיקת שיחה ב'הודעות' עלולה לחשוף את הפרטים ליצירת קשר של המשתמש ברישום המערכת
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2025-24146: 神罚 (@Pwnrin)
QuartzCore
זמין עבור: macOS Ventura
השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54497: אנונימי יחד עם Trend Micro Zero Day Initiative
Sandbox
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לאמצעי אחסון ניתנים להסרה ללא הסכמת המשתמש
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)
SceneKit
זמין עבור: macOS Ventura
השפעה: ניתוח קובץ עלול להוביל לחשיפת מידע של משתמש
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2025-24149: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
Security
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2025-24103: Zhongquan Li (@Guluisacat)
sips
זמין עבור: macOS Ventura
השפעה: ניתוח מבנה של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2025-24185: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
הרשומה נוספה ב-17 במרץ 2025
sips
זמין עבור: macOS Ventura
השפעה: ניתוח מבנה של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24139: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative ו-Junsung Lee
הרשומה עודכנה ב‑16 במאי 2025
SMB
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-24151: חוקר אנונימי
Spotlight
זמין עבור: macOS Ventura
השפעה: יישום זדוני עלול להצליח להדליף מידע רגיש אודות המשתמש
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) מ-Lupus Nova
StorageKit
זמין עבור: macOS Ventura
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית הרשאות טופלה באמצעות אימות משופר.
CVE-2025-24176: Yann GASCUEL מ-Alter Solutions
WebContentFilter
זמין עבור: macOS Ventura
השפעה: תוקף עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2025-24154: חוקר אנונימי
WindowServer
זמין עבור: macOS Ventura
השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום
תיאור: בעיה זאת טופלה באמצעות ניהול משופר של משך החיים של אובייקטים.
CVE-2025-24120: PixiePoint Security
Xsan
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2025-24156: חוקר אנונימי
הכרה נוספת
Static Linker
אנחנו מבקשים להודות ל-Holger Fuhrmannek על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.