Despre conținutul de securitate din macOS Ventura 13.7.7

Acest document descrie conținutul de securitate din macOS Ventura 13.7.7.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

macOS Ventura 13.7.7

Admin Framework

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2025-43191: Ryan Dowd (@_rdowd)

afclip

Disponibilitate pentru: macOS Ventura

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43186: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

AMD

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea gestionării stării.

CVE-2025-43244: ABC Research s.r.o.

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Ventura

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-31243: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Ventura

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-43249: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de downgrade a fost rezolvată cu restricții suplimentare pentru semnarea codului.

CVE-2025-43245: Mickey Jin (@patch1t)

CFNetwork

Disponibilitate pentru: macOS Ventura

Impact: un atacator ar putea cauza închiderea neașteptată a aplicației

Descriere: o problemă de corupere a memoriei a fost remediată prin eliminarea codului vulnerabil.

CVE-2025-43222: Andreas Jaegersberger și Ro Achterberg de la Nosebeard Labs

CFNetwork

Disponibilitate pentru: macOS Ventura

Impact: un utilizator neprivilegiat poate să modifice configurări de rețea restricționate

Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea validării intrării.

CVE-2025-43223: Andreas Jaegersberger și Ro Achterberg de la Nosebeard Labs

copyfile

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2025-43220: Mickey Jin (@patch1t)

Core Services

Disponibilitate pentru: macOS Ventura

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: o problemă legată de permisiuni a fost remediată prin eliminarea codului vulnerabil.

CVE-2025-43199: Gergely Kalman (@gergely_kalman), un cercetător anonim

CoreMedia

Disponibilitate pentru: macOS Ventura

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43210: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreServices

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a existat o problemă la tratarea variabilelor de mediu. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2025-43195: 风沐云烟 (@binary_fmyy) și Minghao Lin (@Y1nKoc)

Disk Images

Disponibilitate pentru: macOS Ventura

Impact: rularea unei comenzi hdiutil poate executa cod arbitrar în mod neașteptat

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2025-43187: 风沐云烟 (@binary_fmyy) și Minghao Lin (@Y1nKoc)

file

Disponibilitate pentru: macOS Ventura

Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-43254: 2ourc3 | Salim Largo

File Bookmark

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-43261: un cercetător anonim

Find My

Disponibilitate pentru: macOS Ventura

Impact: este posibil ca o aplicație să poată amprenta utilizatorul

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-31279: Dawuge de la Shuffle Team

Finder

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate să execute cod arbitrar în afara propriului sandbox sau cu anumite privilegii ridicate

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-24119: un cercetător anonim

GPU Drivers

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43255: anonim, în colaborare cu inițiativa Zero Day de la Trend Micro

CVE-2025-43284: anonim, în colaborare cu Trend Micro Zero Day Initiative

ICU

Disponibilitate pentru: macOS Ventura

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43209: Gary Kwong în colaborare cu Trend Micro Zero Day Initiative

Kernel

Disponibilitate pentru: macOS Ventura

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24224: Tony Iskow (@Tybbow)

LaunchServices

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate să execute cod arbitrar în afara propriului sandbox sau cu anumite privilegii ridicate

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-24119: un cercetător anonim

libxpc

Disponibilitate pentru: macOS Ventura

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2025-43196: un cercetător anonim

NetAuth

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate evada din sandbox

Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.

CVE-2025-43275: Csaba Fitzl (@theevilbit) din cadrul Kandji

Notes

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate obține acces neautorizat la rețeaua locală

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2025-43270: Minqiang Gui

Notes

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2025-43225: Kirin (@Pwnrin)

NSSpellChecker

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43266: Noah Gregory (wts.dev)

PackageKit

Disponibilitate pentru: macOS Ventura

Impact: O aplicație rău intenționată cu privilegii de rădăcină poate să modifice conținutul fișierelor de sistem

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43247: Mickey Jin (@patch1t)

PackageKit

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-43194: Mickey Jin (@patch1t)

PackageKit

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate să ocolească anumite preferințe de confidențialitate

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43232: Koh M. Nakagawa (@tsunek0h), Csaba Fitzl (@theevilbit) de la Kandji și Gergely Kalman (@gergely_kalman)

Power Management

Disponibilitate pentru: macOS Ventura

Impact: un atacator ar putea cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

CVE-2025-43236: Dawuge de la Shuffle Team

SceneKit

Disponibilitate pentru: macOS Ventura

Impact: o aplicație ar putea citi fișiere din afara propriului său sandbox

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43241: Mickey Jin (@patch1t)

Security

Disponibilitate pentru: macOS Ventura

Impact: o aplicație creată cu rea intenție care acționează ca proxy HTTPS ar putea avea acces la date sensibile despre utilizatori

Descriere: această problemă a fost remediată prin restricții suplimentare pentru acces.

CVE-2025-43233: Wojciech Regula de la SecuRing (wojciechregula.blog)

SecurityAgent

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43193: Dawuge de la Shuffle Team

SharedFileList

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2025-43250: Yuebin Sun (@yuebinsun2020), Mickey Jin (@patch1t)

Shortcuts

Disponibilitate pentru: macOS Ventura

Impact: o comandă rapidă ar putea să ocolească configurările sensibile ale aplicației Comenzi rapide

Descriere: problema a fost remediată prin adăugarea unei solicitări suplimentare a acordului utilizatorului.

CVE-2025-43184: Csaba Fitzl (@theevilbit) de la Kandji

Single Sign-On

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-43197: Shang-De Jiang și Kazma Ye de la CyCraft Technology

sips

Disponibilitate pentru: macOS Ventura

Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43239: Nikolai Skliarenko de la Trend Micro Zero Day Initiative

Software Update

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43243: Mickey Jin (@patch1t), Keith Yeo (@kyeojy) de la Team Orca din cadrul Sea Security

System Settings

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2025-43206: Zhongquan Li (@Guluisacat)

WindowServer

Disponibilitate pentru: macOS Ventura

Impact: un atacator cu acces fizic la un dispozitiv blocat poate vedea informații confidențiale despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2025-43259: Martti Hütt

Xsan

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2025-43238: un cercetător anonim

Alte mențiuni

Device Management

Dorim să îi mulțumim lui Al Karak pentru asistența acordată.

Game Center

Dorim să îi mulțumim lui YingQi Shi(@Mas0nShi) de la DBAppSecurity's WeBin lab pentru asistența acordată.

Shortcuts

Dorim să îi mulțumim lui Dennis Kniep pentru asistența acordată.

WebDAV

Dorim să îi mulțumim lui Christian Kohlschütter pentru asistența acordată.