Відомості про проблеми системи безпеки, які усунено в оновленні macOS Ventura 13.7.3
У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Ventura 13.7.3.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участі в її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
macOS Ventura 13.7.3
Дата випуску: 27 січня 2025 р.
AppleMobileFileIntegrity
Цільовий продукт: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему зі зниженням рівня вирішено за допомогою додаткових обмежень підписування коду.
CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)
AppleMobileFileIntegrity
Цільовий продукт: macOS Ventura
Вплив: програма може отримати доступ до інформації про контакти користувача.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2025-24100: Kirin (@Pwnrin)
AppleMobileFileIntegrity
Цільовий продукт: macOS Ventura
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-24114: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Цільовий продукт: macOS Ventura
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2025-24121: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Цільовий продукт: macOS Ventura
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему зі зниженням рівня, що впливає на комп’ютери Mac із процесорами Intel, вирішено за допомогою додаткових обмежень підписування коду.
CVE-2025-24122: Mickey Jin (@patch1t)
ARKit
Цільовий продукт: macOS Ventura
Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu та Xingwei Lin із Zhejiang University
Audio
Цільовий продукт: macOS Ventura
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему вирішено завдяки додатковим перевіркам прав.
CVE-2025-24106: Wang Yu із CyberServal
Запис оновлено 28 серпня 2025 р.
Contacts
Цільовий продукт: macOS Ventura
Вплив: програма може отримувати доступ до контактів.
Опис: проблему з приватністю вирішено завдяки вдосконаленню маскування приватних даних для записів журналу.
CVE-2024-44172: Kirin (@Pwnrin)
CoreMedia
Цільовий продукт: macOS Ventura
Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24123: Desmond у співпраці з компанією Trend Micro в межах ініціативи Zero Day Initiative
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang), що співпрацюють із компанією Trend Micro в межах ініціативи Zero Day Initiative
CoreRoutine
Цільовий продукт: macOS Ventura
Вплив: програма може визначити поточне розташування користувача.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24102: Kirin (@Pwnrin)
iCloud Photo Library
Цільовий продукт: macOS Ventura
Вплив: програма може обходити параметри приватності.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones
ImageIO
Цільовий продукт: macOS Ventura
Вплив: обробка зображення може призвести до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-24086: DongJun Kim (@smlijun) і JongSeong Kim (@nevul37) в Enki WhiteHat, D4m0n
LaunchServices
Цільовий продукт: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.
CVE-2025-24094: анонімний дослідник
LaunchServices
Цільовий продукт: macOS Ventura
Вплив: програма може читати файли за межами ізольованого середовища.
Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.
CVE-2025-24115: анонімний дослідник
LaunchServices
Цільовий продукт: macOS Ventura
Вплив: програма може обходити параметри приватності.
Опис: проблему з доступом усунено завдяки додатковим обмеженням ізольованого програмного середовища.
CVE-2025-24116: анонімний дослідник
libxslt
Цільовий продукт: macOS Ventura
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2024-55549: Ivan Fratric із підрозділу Google Project Zero
CVE-2025-24855: Ivan Fratric із підрозділу Google Project Zero
Запис додано 16 травня 2025 р.
Login Window
Цільовий продукт: macOS Ventura
Вплив: шкідлива програма може створювати символьні посилання на захищені області диска.
Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.
CVE-2025-24136: 风(binary_fmyy) і Minghao Lin (@Y1nKoc)
Запис оновлено 16 травня 2025 р.
PackageKit
Цільовий продукт: macOS Ventura
Вплив: локальний зловмисник може підвищувати свій рівень привілеїв.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24099: Mickey Jin (@patch1t)
Запис додано 29 січня 2025 р.
PackageKit
Цільовий продукт: macOS Ventura
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)
Perl
Цільовий продукт: macOS Ventura
Вплив: локальний користувач може змінювати захищені частини файлової системи.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24183: Arsenii Kostromin (0x3c3e)
Запис додано 16 травня 2025 р.
Photos Storage
Цільовий продукт: macOS Ventura
Вплив: видалення розмови в Повідомленнях може відкрити контактну інформацію користувача в журналі системи.
Опис: проблему вирішено завдяки вдосконаленню маскування конфіденційної інформації.
CVE-2025-24146: 神罚 (@Pwnrin)
QuartzCore
Цільовий продукт: macOS Ventura
Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54497: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
Sandbox
Цільовий продукт: macOS Ventura
Вплив: програма може отримувати доступ до знімних томів без дозволу користувача.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)
SceneKit
Цільовий продукт: macOS Ventura
Вплив: аналіз файлу може призводити до розкриття інформації про користувача.
Опис: читання за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-24149: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
Security
Цільовий продукт: macOS Ventura
Вплив: програма може отримувати доступ до захищених даних користувача.
Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.
CVE-2025-24103: Zhongquan Li (@Guluisacat)
sips
Цільовий продукт: macOS Ventura
Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-24185: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
Запис додано 17 березня 2025 р.
sips
Цільовий продукт: macOS Ventura
Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24139: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative, і Junsung Lee
Запис оновлено 16 травня 2025 р.
SMB
Цільовий продукт: macOS Ventura
Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-24151: анонімний дослідник
Spotlight
Цільовий продукт: macOS Ventura
Вплив: шкідлива програма може ініціювати витік конфіденційної інформації про користувача.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) із Lupus Nova
StorageKit
Цільовий продукт: macOS Ventura
Вплив: локальний зловмисник може підвищувати свій рівень привілеїв.
Опис: проблему з дозволами вирішено завдяки вдосконаленню перевірки.
CVE-2025-24176: Yann Gascuel з Alter Solutions
StoreKit
Цільовий продукт: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з приватністю вирішено завдяки вдосконаленню маскування приватних даних для записів журналу.
CVE-2025-31242: Eric Dorphy з Twin Cities App Dev LLC
Запис додано 21 листопада 2025 р.
UserAccountUpdater
Цільовий продукт: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.
CVE-2025-31248: анонімний дослідник
Запис додано 21 листопада 2025 р.
WebContentFilter
Цільовий продукт: macOS Ventura
Вплив: зловмисник може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-24154: анонімний дослідник
Wi-Fi
Цільовий продукт: macOS Ventura
Вплив: Зловмисник, який перебуває поблизу, може спричинити зчитування за межами виділеної області пам’яті ядра.
Опис: читання за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-43374: jioundai із 360 Vulnerability Research Institute, chen fengjiao з HBC
Запис додано 21 листопада 2025 р.
WindowServer
Цільовий продукт: macOS Ventura
Вплив: зловмисник може спричиняти несподіване завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню керування життєвим циклом об’єктів.
CVE-2025-24120: PixiePoint Security
Xsan
Цільовий продукт: macOS Ventura
Вплив: програма може підвищувати рівень привілеїв.
Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-24156: анонімний дослідник
Додаткова подяка
Static Linker
Дякуємо за допомогу Holger Fuhrmannek.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.