Сведения о проблемах системы безопасности, устраняемых обновлением macOS Ventura 13.7.3

В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Ventura 13.7.3.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

macOS Ventura 13.7.3

AppleMobileFileIntegrity

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с переходом на более раннюю версию устранена c помощью дополнительных ограничений на подпись кода.

CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)

AppleMobileFileIntegrity

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить доступ к информации о контактах пользователя.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2025-24100: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Целевые продукты: macOS Ventura

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-24114: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Целевые продукты: macOS Ventura

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-24121: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Целевые продукты: macOS Ventura

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с переходом на более раннюю версию, затрагивающая компьютеры Mac на базе Intel, была устранена с помощью дополнительных ограничений на подпись кода.

CVE-2025-24122: Mickey Jin (@patch1t)

ARKit

Целевые продукты: macOS Ventura

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu и Xingwei Lin из Чжэцзянского университета

Audio

Целевые продукты: macOS Ventura

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем ввода дополнительных проверок прав.

CVE-2025-24106: Wang Yu из CyberServal

Contacts

Целевые продукты: macOS Ventura

Воздействие. Приложение может иметь доступ к контактам.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2024-44172: Kirin (@Pwnrin)

CoreMedia

Целевые продукты: macOS Ventura

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24123: Desmond в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-24124: Pwn2car и Rotiple (HyeongSeok Jang) в сотрудничестве с Trend Micro Zero Day Initiative

CoreRoutine

Целевые продукты: macOS Ventura

Воздействие. Приложение может определить текущее местоположение пользователя.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24102: Kirin (@Pwnrin)

iCloud Photo Library

Целевые продукты: macOS Ventura

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones

ImageIO

Целевые продукты: macOS Ventura

Воздействие. Обработка изображения может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24086: DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat, D4m0n

LaunchServices

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2025-24094: анонимный исследователь

LaunchServices

Целевые продукты: macOS Ventura

Воздействие. Приложение может считывать файлы за границами песочницы.

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2025-24115: анонимный исследователь

LaunchServices

Целевые продукты: macOS Ventura

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2025-24116: анонимный исследователь

libxslt

Целевые продукты: macOS Ventura

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-55549: Ivan Fratric из Google Project Zero

CVE-2025-24855: Ivan Fratric из Google Project Zero

Login Window

Целевые продукты: macOS Ventura

Воздействие. Вредоносное приложение может создавать символьные ссылки на защищенные области диска.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2025-24136: 风(binary_fmyy) и Minghao Lin (@Y1nKoc)

PackageKit

Целевые продукты: macOS Ventura

Воздействие. Локальный злоумышленник может повысить свои привилегии

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24099: Mickey Jin (@patch1t)

PackageKit

Целевые продукты: macOS Ventura

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)

Perl

Целевые продукты: macOS Ventura

Воздействие. Локальный пользователь может изменять защищенные участки файловой системы.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24183: Arsenii Kostromin (0x3c3e)

Photos Storage

Целевые продукты: macOS Ventura

Воздействие. Удаление разговора в приложении «Сообщения» может поставить под угрозу контактные данные пользователя в системном журнале.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2025-24146: 神罚 (@Pwnrin)

QuartzCore

Целевые продукты: macOS Ventura

Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54497: анонимный исследователь в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Sandbox

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить доступ к удаляемым томам без согласия пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)

SceneKit

Целевые продукты: macOS Ventura

Воздействие. Анализ файла может приводить к раскрытию данных пользователя.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-24149: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Security

Целевые продукты: macOS Ventura

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2025-24103: Zhongquan Li (@Guluisacat)

sips

Целевые продукты: macOS Ventura

Воздействие. Анализ вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-24185: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

sips

Целевые продукты: macOS Ventura

Воздействие. Анализ вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24139: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative и Junsung Lee

SMB

Целевые продукты: macOS Ventura

Воздействие. Приложение может вызывать неожиданное завершение работы системы или повреждать память ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24151: анонимный исследователь

Spotlight

Целевые продукты: macOS Ventura

Воздействие. Вредоносное приложение может вызвать утечку конфиденциальных данных пользователя.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) из Lupus Nova

StorageKit

Целевые продукты: macOS Ventura

Воздействие. Локальный злоумышленник может повысить свои привилегии

Описание. Проблема с правами доступа устранена путем улучшения проверки.

CVE-2025-24176: Yann GASCUEL из Alter Solutions

WebContentFilter

Целевые продукты: macOS Ventura

Воздействие. Злоумышленник может вызывать неожиданное завершение работы системы или повреждать память ядра.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-24154: анонимный исследователь

WindowServer

Целевые продукты: macOS Ventura

Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема устранена путем улучшенного управления временем существования объектов.

CVE-2025-24120: PixiePoint Security

Xsan

Целевые продукты: macOS Ventura

Воздействие. Приложение может повышать уровень привилегий.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2025-24156: анонимный исследователь

Дополнительные благодарности

Static Linker

Выражаем благодарность за помощь Holger Fuhrmannek.