Mengenai konten keamanan macOS Ventura 13.6.8
Dokumen ini menjelaskan konten keamanan macOS Ventura 13.6.8.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
macOS Ventura 13.6.8
Dirilis pada 29 Juli 2024
APFS
Tersedia untuk: macOS Ventura
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan peningkatan pembatasan akses ke kontainer data.
CVE-2024-40783: Csaba Fitzl (@theevilbit) dari Kandji
Apple Neural Engine
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2024-27826: Minghao Lin, dan Ye Zhang (@VAR10CK) dari Baidu Security
AppleMobileFileIntegrity
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah penurunan telah diatasi dengan tambahan pembatasan penandatanganan kode.
CVE-2024-40774: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Tersedia untuk: macOS Ventura
Dampak: App dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah penurunan telah diatasi dengan tambahan pembatasan penandatanganan kode.
CVE-2024-40775: Mickey Jin (@patch1t)
AppleVA
Tersedia untuk: macOS Ventura
Dampak: Memproses file perusak yang berbahaya dapat menyebabkan penolakan layanan atau berpotensi mengungkap konten memori
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2024-27877: Michael DePlante (@izobashi) dari Zero Day Initiative dari Trend Micro
CoreGraphics
Tersedia untuk: macOS Ventura
Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba
Deskripsi: Masalah pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2024-40799: D4m0n
CoreMedia
Tersedia untuk: macOS Ventura
Dampak: Memproses file video perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.
CVE-2024-27873: Amir Bazine dan Karsten König dari CrowdStrike Counter Adversary Operations
curl
Tersedia untuk: macOS Ventura
Dampak: Beberapa masalah di curl
Deskripsi: Ini adalah kerentanan dalam kode sumber terbuka dan Perangkat Lunak Apple termasuk dalam proyek yang terdampak. CVE-ID ditetapkan oleh pihak ketiga. Pelajari lebih lanjut masalah ini dan CVE-ID di cve.org.
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat menimpa file arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-40827: peneliti anonim
dyld
Tersedia untuk: macOS Ventura
Dampak: Penyerang berbahaya dengan kemampuan membaca dan menulis arbitrer mungkin dapat melewati Autentikasi Penunjuk
Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.
CVE-2024-40815: w0wbox
ImageIO
Tersedia untuk: macOS Ventura
Dampak: Pemrosesan gambar mungkin mengakibatkan penolakan layanan
Deskripsi: Ini adalah kerentanan dalam kode sumber terbuka dan Perangkat Lunak Apple termasuk dalam proyek yang terdampak. CVE-ID ditetapkan oleh pihak ketiga. Pelajari lebih lanjut masalah ini dan CVE-ID di cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Tersedia untuk: macOS Ventura
Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba
Deskripsi: Masalah pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2024-40806: Yisumi
ImageIO
Tersedia untuk: macOS Ventura
Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba
Deskripsi: Kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.
CVE-2024-40784: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro dan Gandalf4a
Kernel
Tersedia untuk: macOS Ventura
Dampak: Penyerang lokal mungkin dapat mengakibatkan sistem mati secara tiba-tiba
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2024-40816: sqrtpwn
Kernel
Tersedia untuk: macOS Ventura
Dampak: Penyerang lokal mungkin dapat mengakibatkan sistem mati secara tiba-tiba
Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2024-40788: Minghao Lin dan Jiaxun Zhu dari Zhejiang University
Keychain Access
Tersedia untuk: macOS Ventura
Dampak: Penyerang mungkin dapat mengakibatkan app berhenti secara tiba-tiba
Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-40803: Patrick Wardle dari DoubleYou & the Objective-See Foundation
NetworkExtension
Tersedia untuk: macOS Ventura
Dampak: Penelusuran pribadi dapat membocorkan sebagian riwayat penelusuran
Deskripsi: Masalah privasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.
CVE-2024-40796: Adam M.
OpenSSH
Tersedia untuk: macOS Ventura
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Ini adalah kerentanan dalam kode sumber terbuka dan Perangkat Lunak Apple termasuk dalam proyek yang terdampak. CVE-ID ditetapkan oleh pihak ketiga. Pelajari lebih lanjut masalah ini dan CVE-ID di cve.org.
CVE-2024-6387
PackageKit
Tersedia untuk: macOS Ventura
Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-40823: Zhongquan Li (@Guluisacat) dari Dawn Security Lab di JingDong
PackageKit
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit) dari Kandji dan Mickey Jin (@patch1t)
Restore Framework
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.
CVE-2024-40800: Claudio Bozzato dan Francesco Benvenuto dari Cisco Talos.
Safari
Tersedia untuk: macOS Ventura
Dampak: Membuka situs web yang berisi konten berbahaya dapat mengakibatkan spoofing UI
Deskripsi: Masalah ini telah diatasi dengan penanganan UI yang ditingkatkan.
CVE-2024-40817: Yadhu Krishna M dan Narendra Bhati, Manajer Keamanan Siber di Suma Soft Pvt. Ltd, Pune (India)
Scripting Bridge
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat mengakses informasi mengenai kontak pengguna
Deskripsi: Masalah privasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.
CVE-2024-27881: Kirin (@Pwnrin)
Security
Tersedia untuk: macOS Ventura
Dampak: Ekstensi app pihak ketiga tidak dapat menerima pembatasan sandbox yang benar
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.
CVE-2024-40821: Joshua Jones
Security
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat membaca riwayat penelusuran Safari
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan.
CVE-2024-40798: Adam M.
Shortcuts
Tersedia untuk: macOS Ventura
Dampak: Pintasan mungkin dapat menggunakan data sensitif dengan tindakan tertentu tanpa meminta izin pengguna
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-40833: peneliti anonim
CVE-2024-40807: peneliti anonim
CVE-2024-40835: peneliti anonim
Shortcuts
Tersedia untuk: macOS Ventura
Dampak: Pintasan mungkin dapat melompati pengaturan app Pintasan yang bersifat rahasia
Deskripsi: Masalah ini telah diatasi dengan menambahkan permintaan tambahan untuk izin pengguna.
CVE-2024-40834: Marcio Almeida dari Tanto Security
Shortcuts
Tersedia untuk: macOS Ventura
Dampak: Pintasan mungkin dapat melewati persyaratan izin Internet
Deskripsi: Masalah ini telah diatasi dengan menambahkan permintaan tambahan untuk izin pengguna.
CVE-2024-40787: peneliti anonim
Shortcuts
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Tersedia untuk: macOS Ventura
Dampak: Pintasan mungkin dapat melewati persyaratan izin Internet
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-40809: peneliti anonim
CVE-2024-40812: peneliti anonim
Siri
Tersedia untuk: macOS Ventura
Dampak: Penyerang dengan akses fisik mungkin dapat menggunakan Siri untuk mengakses data pengguna yang sensitif
Deskripsi: Masalah ini telah diatasi dengan membatasi pilihan yang ditawarkan pada perangkat terkunci.
CVE-2024-40818: Bistrit Dahal dan Srijan Poudel
Siri
Tersedia untuk: macOS Ventura
Dampak: Penyerang mungkin dapat melihat informasi rahasia pengguna
Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.
CVE-2024-40786: Bistrit Dahal
StorageKit
Tersedia untuk: macOS Ventura
Dampak: App yang berbahaya dapat memperoleh hak istimewa root
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-40828: Mickey Jin (@patch1t)
Time Zone
Tersedia untuk: macOS Ventura
Dampak: Penyerang mungkin dapat membaca informasi milik pengguna lain
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2024-23261: Matthew Loewen
VoiceOver
Tersedia untuk: macOS Ventura
Dampak: Pengguna mungkin dapat melihat konten yang dibatasi dari layar terkunci
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College of Technology Bhopal India
Ucapan terima kasih tambahan
Image Capture
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
Shortcuts
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.