Informacije o sigurnosnom sadržaju sustava macOS Ventura 13.6.8

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Ventura 13.6.8.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Ventura 13.6.8

APFS

Dostupno za: macOS Ventura

Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti

Opis: problem je riješen boljim ograničavanje pristupa spremištu podataka.

CVE-2024-40783: Csaba Fitzl (@theevilbit) (Kandji)

Apple Neural Engine

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-27826: Minghao Lin i Ye Zhang (@VAR10CK) (Baidu Security)

AppleMobileFileIntegrity

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem vraćanja na stariju verziju riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2024-40774: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: problem vraćanja na stariju verziju riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2024-40775: Mickey Jin (@patch1t)

AppleVA

Dostupno za: macOS Ventura

Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-27877: Michael DePlante (@izobashi), projekt Zero Day Initiative (Trend Micro)

CoreGraphics

Dostupno za: macOS Ventura

Učinak: obradom zlonamjerne datoteke može doći do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40799: D4m0n

CoreMedia

Dostupno za: macOS Ventura

Učinak: obradom zlonamjerne videodatoteke može doći do neočekivanog zatvaranja aplikacije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-27873: Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations)

curl

Dostupno za: macOS Ventura

Učinak: veći broj problema u medijateci curl

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-2004

CVE-2024-2379

CVE-2024-2398

CVE-2024-2466

DesktopServices

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-40827: anonimni istraživač

dyld

Dostupno za: macOS Ventura

Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-40815: w0wbox

ImageIO

Dostupno za: macOS Ventura

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Dostupno za: macOS Ventura

Učinak: obradom zlonamjerne datoteke može doći do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40806: Yisumi

ImageIO

Dostupno za: macOS Ventura

Učinak: obradom zlonamjerne datoteke može doći do neočekivanog zatvaranja aplikacije

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40784: Junsung Lee u suradnji s projektom Zero Day Initiative (Trend Micro) i korisnikom Gandalf4a

Kernel

Dostupno za: macOS Ventura

Učinak: lokalni napadač mogao bi uzrokovati neočekivano isključivanje sustava

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40816: sqrtpwn

Kernel

Dostupno za: macOS Ventura

Učinak: lokalni napadač mogao bi uzrokovati neočekivano isključivanje sustava

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2024-40788: Minghao Lin i Jiaxun Zhu (Sveučilište Zhejiang)

Keychain Access

Dostupno za: macOS Ventura

Učinak: napadač bi mogao uzrokovati neočekivano zatvaranje aplikacije

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2024-40803: Patrick Wardle (DoubleYou & the Objective-See Foundation)

NetworkExtension

Dostupno za: macOS Ventura

Učinak: tijekom privatne sesije pregledavanja može doći do otkrivanja podataka o ranijim pregledima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-40796: Adam M.

OpenSSH

Dostupno za: macOS Ventura

Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-6387

PackageKit

Dostupno za: macOS Ventura

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-40781: Mickey Jin (@patch1t)

CVE-2024-40802: Mickey Jin (@patch1t)

PackageKit

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-40823: Zhongquan Li (@Guluisacat) (Dawn Security Lab of JingDong)

PackageKit

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-27882: Mickey Jin (@patch1t)

CVE-2024-27883: Csaba Fitzl (@theevilbit) (Kandji) i Mickey Jin (@patch1t)

Restore Framework

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40800: Claudio Bozzato i Francesco Benvenuto (Cisco Talos).

Safari

Dostupno za: macOS Ventura

Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

CVE-2024-40817: Yadhu Krishna M i Narendra Bhati, direktor odjela za kibernetičku sigurnost tvrtke Suma Soft Pvt. Ltd, Pune, Indija)

Scripting Bridge

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-27881: Kirin (@Pwnrin)

Security

Dostupno za: macOS Ventura

Učinak: Ekstenzije aplikacija trećih strana ne mogu primati točna ograničenja za memoriju.

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2024-40821: Joshua Jones

Security

Dostupno za: macOS Ventura

Učinak: aplikacija može čitati podatke o ranijim pregledavanjima putem Safarija

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-40798: Adam M.

Shortcuts

Dostupno za: macOS Ventura

Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-40833: anonimni istraživač

CVE-2024-40807: anonimni istraživač

CVE-2024-40835: anonimni istraživač

Shortcuts

Dostupno za: macOS Ventura

Učinak: prečac može zaobići osjetljive postavke aplikacije Prečaci

Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.

CVE-2024-40834: Marcio Almeida (Tanto Security)

Shortcuts

Dostupno za: macOS Ventura

Učinak: prečac bi mogao zaobići preduvjete za internetska dopuštenja

Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.

CVE-2024-40787: anonimni istraživač

Shortcuts

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Dostupno za: macOS Ventura

Učinak: prečac bi mogao zaobići preduvjete za internetska dopuštenja

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-40809: anonimni istraživač

CVE-2024-40812: anonimni istraživač

Siri

Dostupno za: macOS Ventura

Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-40818: Bistrit Dahal i Srijan Poudel

Siri

Dostupno za: macOS Ventura

Učinak: napadač bi mogao pregledavati osjetljive korisničke podatke

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-40786: Bistrit Dahal

StorageKit

Dostupno za: macOS Ventura

Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-40828: Mickey Jin (@patch1t)

Time Zone

Dostupno za: macOS Ventura

Učinak: napadač bi mogao čitati podatke koji pripadaju drugom korisniku

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2024-23261: Matthew Loewen

VoiceOver

Dostupno za: macOS Ventura

Učinak: korisnik bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)

Dodatna zahvala

Image Capture

Na pomoći zahvaljujemo anonimnom istraživaču.

Shortcuts

Na pomoći zahvaljujemo anonimnom istraživaču.