מידע על תוכן האבטחה של macOS Ventura 13.7.6

מסמך זה מתאר את תוכן האבטחה של macOS Ventura 13.7.6.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

macOS Ventura 13.7.6

הופץ ב-12 במאי 2025

afpfs

זמין עבור: macOS Ventura

השפעה: התקנת פלח רשת AFP בעל מבנה זדוני עלול להוביל לסיום של פעולת המערכת

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2025-31240‏: Dave G.‎

CVE-2025-31237‏: Dave G.‎

AppleJPEG

זמין עבור: macOS Ventura

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: הבעיה טופלה באמצעות סניטציה משופרת של קלט.

CVE-2025-31251: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

Audio

זמין עבור: macOS Ventura

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: בעיית שחרור כפול טופלה באמצעות ניהול זיכרון משופר.

CVE-2025-31235: ‏Dillon Franke יחד עם Google Project Zero

CoreAudio

זמין עבור: macOS Ventura

השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-31208: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreGraphics

זמין עבור: macOS Ventura

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-31196: ‏wac יחד עם Trend Micro Zero Day Initiative

CoreGraphics

זמין עבור: macOS Ventura

השפעה: ניתוח קובץ עלול להוביל לחשיפת מידע של משתמש

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-31209: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreMedia

זמין עבור: macOS Ventura

השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2025-31239: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreMedia

זמין עבור: macOS Ventura

השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: הבעיה טופלה באמצעות סניטציה משופרת של קלט.

CVE-2025-31233: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

DiskArbitration

זמין עבור: macOS Ventura

השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש

תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.

CVE-2025-30453: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji, חוקר אנונימי

DiskArbitration

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-24258: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji, חוקר אנונימי

iCloud Document Sharing

זמין עבור: macOS Ventura

השפעה: תוקף עלול להיות מסוגל להפעיל שיתוף של תיקיה ב-iCloud ללא אימות

תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.

CVE-2025-30448: ‏Dayton Pidhirney מ-Atredis Partners, ‏Lyutoon ו-YenKoc

Installer

זמין עבור: macOS Ventura

השפעה: יישום עם תכונת 'ארגז חול' עשוי להיות מסוגל לגשת לנתוני משתמש רגישים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-31232: חוקר אנונימי

Kernel

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: בעיה של חשיפת מידע טופלה על-ידי הסרת הקוד הפגיע.

CVE-2025-24144: ‏Mateusz Krzywicki ‏(‎@krzywix)

Kernel

זמין עבור: macOS Ventura

השפעה: תוקף עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-31219: ‏Michael DePlante ‏(‎@izobashi) ו-Lucas Leong ‏(‎@_wmliang_) מ-Trend Micro Zero Day Initiative

Kernel

זמין עבור: macOS Ventura

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום

תיאור: בעיית שחרור כפול טופלה באמצעות ניהול זיכרון משופר.

CVE-2025-31241: ‏Christian Kohlschütter

libexpat

זמין עבור: macOS Ventura

השפעה: בעיות מרובות ב-libexpat, כולל סיום בלתי צפוי של פעולת יישום או הפעלת קוד שרירותי

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-8176

Libinfo

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לעקוף את ASLR

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-30440: ‏Paweł Płatek ‏(Trail of Bits)

mDNSResponder

זמין עבור: macOS Ventura

השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית נכונות טופלה באמצעות בדיקות משופרות.

CVE-2025-31222: ‏Paweł Płatek ‏(Trail of Bits)

Mobile Device Service

זמין עבור: macOS Ventura

השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש

תיאור: בעיה של אימות קלט טופלה על ידי הסרת הקוד הפגיע.

CVE-2025-24274: חוקר אנונימי

Notification Center

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2025-24142: ‏LFY@secsys מ-Fudan University

Pro Res

זמין עבור: macOS Ventura

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-31245: ‏wac

Sandbox

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-31224: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji

Security

זמין עבור: macOS Ventura

השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2025-31221‏: Dave G.‎

Security

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לשמות משתמש ולאתרים משויכים ב'צרור המפתחות' ב-iCloud של משתמש

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2025-31213: ‏Kirin ‏(‎@Pwnrin) ו-7feilee

SharedFileList

זמין עבור: macOS Ventura

השפעה: תוקף עלול לקבל גישה לחלקים מוגנים במערכת הקבצים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2025-31247: חוקר אנונימי

SoftwareUpdate

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר

תיאור: הבעיה טופלה באמצעות סניטציה משופרת של קלט.

CVE-2025-30442: חוקר אנונימי

StoreKit

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2025-31242: ‏Eric Dorphy מ-Twin Cities App Dev LLC

Weather

זמין עבור: macOS Ventura

השפעה: יישום זדוני עשוי לקרוא מידע רגיש אודות המיקום

תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.

CVE-2025-31220: ‏Adam M.‎

WebContentFilter

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24155: חוקר אנונימי

הכרה נוספת

Kernel

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: 16 במאי 2025