Over de beveiligingsinhoud van macOS Ventura 13.7.6

In dit document wordt de beveiligingsinhoud van macOS Ventura 13.7.6 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Ventura 13.7.6

afpfs

Beschikbaar voor: macOS Ventura

Impact: het activeren van een kwaadwillig vervaardigde AFP-netwerkshare kan mogelijk leiden tot het beëindigen van het systeem

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2025-31240: Dave G.

CVE-2025-31237: Dave G.

AppleJPEG

Beschikbaar voor: macOS Ventura

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.

CVE-2025-31251: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

Audio

Beschikbaar voor: macOS Ventura

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een double-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-31235: Dillon Franke in samenwerking met Google Project Zero

CoreAudio

Beschikbaar voor: macOS Ventura

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-31208: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreGraphics

Beschikbaar voor: macOS Ventura

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot denial-of-service of kan geheugeninhoud vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-31196: wac in samenwerking met Trend Micro Zero Day Initiative

CoreGraphics

Beschikbaar voor: macOS Ventura

Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2025-31209: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreMedia

Beschikbaar voor: macOS Ventura

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-31239: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreMedia

Beschikbaar voor: macOS Ventura

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.

CVE-2025-31233: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

DiskArbitration

Beschikbaar voor: macOS Ventura

Impact: een kwaadaardige app kan mogelijk rootbevoegdheden verkrijgen

Beschrijving: het probleem is verholpen door aanvullende controles op bevoegdheden.

CVE-2025-30453: Csaba Fitzl (@theevilbit) van Kandji, een anonieme onderzoeker

DiskArbitration

Beschikbaar voor: macOS Ventura

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-24258: Csaba Fitzl (@theevilbit) van Kandji, een anonieme onderzoeker

iCloud Document Sharing

Beschikbaar voor: macOS Ventura

Impact: Een aanvaller kan zonder authenticatie het delen van een iCloud-bestand inschakelen

Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.

CVE-2025-30448: Dayton Pidhirney van Atredis Partners, Lyutoon en YenKoc

Installer

Beschikbaar voor: macOS Ventura

Impact: een app in de sandbox heeft mogelijk toegang tot vertrouwelijke gebruikersgegevens

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-31232: een anonieme onderzoeker

Kernel

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk gevoelige kernelstatus vrijgeven

Beschrijving: een probleem met vrijgave van gegevens is opgelost door de kwetsbare code te verwijderen.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Beschikbaar voor: macOS Ventura

Impact: een aanvaller kan mogelijk het onverwacht beëindigen van het systeem veroorzaken of het kernelgeheugen beschadigen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-31219: Michael DePlante (@izobashi) en Lucas Leong (@_wmliang_) van Trend Micro Zero Day Initiative

Kernel

Beschikbaar voor: macOS Ventura

Impact: een externe aanvaller kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: een double-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-31241: Christian Kohlschütter

libexpat

Beschikbaar voor: macOS Ventura

Impact: Meerdere problemen in libexpad, waaronder onverwachte afsluiting van app of willekeurige code-uitvoering

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-8176

Libinfo

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk ASLR omzeilen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-30440: Paweł Płatek (Trail of Bits)

mDNSResponder

Beschikbaar voor: macOS Ventura

Impact: een gebruiker kan de bevoegdheden verhogen

Beschrijving: een correctheidsprobleem is verholpen door verbeterde controles.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Mobile Device Service

Beschikbaar voor: macOS Ventura

Impact: een kwaadaardige app kan mogelijk rootbevoegdheden verkrijgen

Beschrijving: een probleem met validering van invoer is opgelost door de kwetsbare code te verwijderen.

CVE-2025-24274: een anonieme onderzoeker

Notification Center

Beschikbaar voor: macOS Ventura

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2025-24142: LFY@secsys van Fudan University

Pro Res

Beschikbaar voor: macOS Ventura

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-31245: wac

Sandbox

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-31224: Csaba Fitzl (@theevilbit) van Kandji

Security

Beschikbaar voor: macOS Ventura

Impact: een externe aanvaller kan geheugen vrijgeven

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2025-31221: Dave G.

Security

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk toegang krijgen tot gekoppelde gebruikersnamen en websites in de iCloud Keychain van een gebruiker

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-31213: Kirin (@Pwnrin) en 7feilee

SharedFileList

Beschikbaar voor: macOS Ventura

Impact: een aanvaller kan mogelijk toegang verkrijgen tot beveiligde onderdelen van het bestandssysteem

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-31247: een anonieme onderzoeker

SoftwareUpdate

Beschikbaar voor: macOS Ventura

Impact: een app kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.

CVE-2025-30442: een anonieme onderzoeker

StoreKit

Beschikbaar voor: macOS Ventura

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2025-31242: Eric Dorphy van Twin Cities App Dev LLC

Weather

Beschikbaar voor: macOS Ventura

Impact: een kwaadaardige app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een privacy probleem is verholpen door gevoelige gegevens te verwijderen.

CVE-2025-31220: Adam M.

WebContentFilter

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24155: een anonieme onderzoeker

Aanvullende erkenning

Kernel

Met dank aan een anonieme onderzoeker voor de hulp.