A macOS Ventura 13.7.6 biztonsági változásjegyzéke
Ez a dokumentum a macOS Ventura 13.7.6 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Ventura 13.7.6
Kiadás dátuma: 2025. május 12.
afpfs
A következőhöz érhető el: macOS Ventura
Érintett terület: Egy rosszindulatúan szerkesztett AFP-alapú hálózati megosztás csatlakoztatása a rendszer leállásához vezethetett
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2025-31240: Dave G.
CVE-2025-31237: Dave G.
AppleJPEG
A következőhöz érhető el: macOS Ventura
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória
Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.
CVE-2025-31251: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
Audio
A következőhöz érhető el: macOS Ventura
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
CVE-2025-31235: Dillon Franke a Google Project Zero keretében
CoreAudio
A következőhöz érhető el: macOS Ventura
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-31208: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreGraphics
A következőhöz érhető el: macOS Ventura
Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2025-31196: wac, a Trend Micro Zero Day Initiative közreműködőjeként
CoreGraphics
A következőhöz érhető el: macOS Ventura
Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2025-31209: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreMedia
A következőhöz érhető el: macOS Ventura
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
CVE-2025-31239: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreMedia
A következőhöz érhető el: macOS Ventura
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória
Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.
CVE-2025-31233: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
DiskArbitration
A következőhöz érhető el: macOS Ventura
Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni
Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.
CVE-2025-30453: Fitzl Csaba (@theevilbit, Kandji); egy anonim kutató
DiskArbitration
A következőhöz érhető el: macOS Ventura
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2025-24258: Fitzl Csaba (@theevilbit, Kandji); egy anonim kutató
iCloud Document Sharing
A következőhöz érhető el: macOS Ventura
Érintett terület: Egy támadó hitelesítés nélkül is képes lehetett bekapcsolni az iCloud-mappák megosztását
Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.
CVE-2025-30448: Dayton Pidhirney, Atredis Partners, Lyutoon és YenKoc
Installer
A következőhöz érhető el: macOS Ventura
Érintett terület: Az elkülönített alkalmazások képesek lehetnek hozzáférni bizalmas felhasználói adatokhoz
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2025-31232: anonim kutató
Kernel
A következőhöz érhető el: macOS Ventura
Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni
Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Kernel
A következőhöz érhető el: macOS Ventura
Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-31219: Michael DePlante (@izobashi) és Lucas Leong (@_wmliang_), Trend Micro Zero Day Initiative
Kernel
A következőhöz érhető el: macOS Ventura
Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
CVE-2025-31241: Christian Kohlschütter
libexpat
A következőhöz érhető el: macOS Ventura
Érintett terület: A libexpat különféle problémái, például váratlan alkalmazásleállás vagy tetszőleges kódfuttatás
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-8176
Libinfo
A következőhöz érhető el: macOS Ventura
Érintett terület: Egyes alkalmazások meg tudták kerülni az ASLR-t
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-30440: Paweł Płatek (Trail of Bits)
mDNSResponder
A következőhöz érhető el: macOS Ventura
Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni
Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Mobile Device Service
A következőhöz érhető el: macOS Ventura
Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a bevitt adatok érvényesítési problémáját.
CVE-2025-24274: anonim kutató
Notification Center
A következőhöz érhető el: macOS Ventura
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2025-24142: LFY@secsys (Fudan University)
Pro Res
A következőhöz érhető el: macOS Ventura
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-31245: wac
Sandbox
A következőhöz érhető el: macOS Ventura
Érintett terület: Egy alkalmazás potenciálisan meg tudott kerülni bizonyos adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2025-31224: Fitzl Csaba (@theevilbit, Kandji)
Security
A következőhöz érhető el: macOS Ventura
Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.
CVE-2025-31221: Dave G.
Security
A következőhöz érhető el: macOS Ventura
Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a társított felhasználónevekhez és webhelyekhez egy felhasználó iCloud-kulcskarikájában
Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.
CVE-2025-31213: Kirin (@Pwnrin) és 7feilee
SharedFileList
A következőhöz érhető el: macOS Ventura
Érintett terület: A támadók hozzáférést szerezhettek a fájlrendszer védett részeihez
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2025-31247: anonim kutató
SoftwareUpdate
A következőhöz érhető el: macOS Ventura
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni
Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.
CVE-2025-30442: anonim kutató
StoreKit
A következőhöz érhető el: macOS Ventura
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2025-31242: Eric Dorphy, Twin Cities App Dev LLC
Weather
A következőhöz érhető el: macOS Ventura
Érintett terület: A rosszindulatú alkalmazások be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.
CVE-2025-31220: Adam M.
WebContentFilter
A következőhöz érhető el: macOS Ventura
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-24155: anonim kutató
További köszönetnyilvánítás
Kernel
Köszönjük egy anonim kutató segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.