Despre conținutul de securitate din macOS Ventura 13.6.8.
Acest document descrie conținutul de securitate din macOS Ventura 13.6.8.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.
macOS Ventura 13.6.8
Publicat pe 29 iulie 2024
APFS
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație rău intenționată să poată ocoli preferințele de confidențialitate
Descriere: problema a fost remediată prin îmbunătățirea restricției accesului la containerul de date
CVE-2024-40783: Csaba Fitzl (@theevilbit) din cadrul Kandji
Apple Neural Engine
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27826: Minghao Lin și Ye Zhang (@VAR10CK) din cadrul Baidu Security
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: o problemă de downgrade a fost rezolvată cu restricții suplimentare pentru semnarea codului.
CVE-2024-40774: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate scurge informații sensibile ale utilizatorilor
Descriere: o problemă de downgrade a fost rezolvată cu restricții suplimentare pentru semnarea codului.
CVE-2024-40775: Mickey Jin (@patch1t)
AppleVA
Disponibilitate pentru: macOS Ventura
Impact: procesarea unui fișier creat cu rea intenție ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27877: Michael DePlante (@izobashi) din cadrul Trend Micro Zero Day Initiative
CoreGraphics
Disponibilitate pentru: macOS Ventura
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-40799: D4m0n
CoreMedia
Disponibilitate pentru: macOS Ventura
Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2024-27873: Amir Bazine și Karsten König din cadrul CrowdStrike Counter Adversary Operations
curl
Disponibilitate pentru: macOS Ventura
Impact: mai multe probleme în curl
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate suprascrie fișiere arbitrare
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-40827: un cercetător anonim
dyld
Disponibilitate pentru: macOS Ventura
Impact: un atacator cu rea intenție, cu capacitate arbitrară de citire și scriere, poate reuși să evite autentificarea pointerilor
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2024-40815: w0wbox
ImageIO
Disponibilitate pentru: macOS Ventura
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponibilitate pentru: macOS Ventura
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-40806: Yisumi
ImageIO
Disponibilitate pentru: macOS Ventura
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2024-40784: Junsung Lee, în colaborare cu Trend Micro Zero Day Initiative și Gandalf4a
Kernel
Disponibilitate pentru: macOS Ventura
Impact: un atacator local ar putea cauza închiderea neașteptată a sistemului
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-40816: sqrtpwn
Kernel
Disponibilitate pentru: macOS Ventura
Impact: un atacator local ar putea cauza închiderea neașteptată a sistemului
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2024-40788: Minghao Lin și Jiaxun Zhu din cadrul Universității Zhejiang
Keychain Access
Disponibilitate pentru: macOS Ventura
Impact: un atacator ar putea cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.
CVE-2024-40803: Patrick Wardle din cadrul DoubleYou & the Objective-See Foundation
NetworkExtension
Disponibilitate pentru: macOS Ventura
Impact: la navigarea în spațiu privat, este posibil să se producă scăpări ale istoricului de navigare
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2024-40796: Adam M.
OpenSSH
Disponibilitate pentru: macOS Ventura
Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.
CVE-2024-6387
PackageKit
Disponibilitate pentru: macOS Ventura
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-40823: Zhongquan Li (@Guluisacat) din cadrul Dawn Security Lab din JingDong
PackageKit
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit) din Kandji și Mickey Jin (@patch1t)
Restore Framework
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2024-40800: Claudio Bozzato și Francesco Benvenuto din cadrul Cisco Talos
Safari
Disponibilitate pentru: macOS Ventura
Impact: vizitarea unui site web care conține conținut rău intenționat poate duce la falsificarea interfeței de utilizator
Descriere: problema a fost remediată prin îmbunătățirea gestionării interfeței cu utilizatorul.
CVE-2024-40817: Yadhu Krishna M și Narendra Bhati, director al Cyber Security At Suma Soft Pvt. Ltd, Pune (India)
Scripting Bridge
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate accesa informații despre contactele unui utilizator
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2024-27881: Kirin (@Pwnrin)
Security
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca extensiile de aplicații terță parte să nu primească restricțiile sandbox corecte
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2024-40821: Joshua Jones
Security
Disponibilitate pentru: macOS Ventura
Impact: o aplicație ar putea citi istoricul de navigare din Safari
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2024-40798: Adam M.
Shortcuts
Disponibilitate pentru: macOS Ventura
Impact: o scurtătură poate fi capabilă să utilizeze date sensibile cu anumite acțiuni fără a solicita utilizatorului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-40833: un cercetător anonim
CVE-2024-40807: un cercetător anonim
CVE-2024-40835: un cercetător anonim
Shortcuts
Disponibilitate pentru: macOS Ventura
Impact: o comandă rapidă ar putea să ocolească configurările sensibile ale aplicației Comenzi rapide
Descriere: problema a fost remediată prin adăugarea unei solicitări suplimentare a acordului utilizatorului.
CVE-2024-40834: Marcio Almeida din cadrul Tanto Security
Shortcuts
Disponibilitate pentru: macOS Ventura
Impact: O scurtătură ar putea ocoli cerințele privind permisiunile pentru Internet
Descriere: problema a fost remediată prin adăugarea unei solicitări suplimentare a acordului utilizatorului.
CVE-2024-40787: un cercetător anonim
Shortcuts
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Disponibilitate pentru: macOS Ventura
Impact: O scurtătură ar putea ocoli cerințele privind permisiunile pentru Internet
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-40809: un cercetător anonim
CVE-2024-40812: un cercetător anonim
Siri
Disponibilitate pentru: macOS Ventura
Impact: un atacator cu acces fizic poate folosi asistentul Siri pentru a accesa date sensibile despre utilizatori
Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.
CVE-2024-40818: Bistrit Dahal și Srijan Poudel
Siri
Disponibilitate pentru: macOS Ventura
Impact: un atacator ar putea să vizualizeze informații sensibile despre utilizator
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2024-40786: Bistrit Dahal
Siri
Disponibilitate pentru: macOS Ventura
Impact: o aplicație din sandbox ar putea accesa date sensibile ale utilizatorului din jurnalele de sistem
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2024-44205: Jiahui Hu (梅零落) și Meng Zhang (鲸落) de la NorthSea
Intrare adăugată pe 15 octombrie 2024
StorageKit
Disponibilitate pentru: macOS Ventura
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-40828: Mickey Jin (@patch1t)
Time Zone
Disponibilitate pentru: macOS Ventura
Impact: un atacator ar putea citi informații care aparțin altui utilizator
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2024-23261: Matthew Loewen
VoiceOver
Disponibilitate pentru: macOS Ventura
Impact: un utilizator poate vizualiza conținut restricționat din ecranul de blocare
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) din cadrul Lakshmi Narain College of Technology Bhopal, India
Alte mențiuni
Image Capture
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Shortcuts
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.