Відомості про проблеми системи безпеки, які усунено в оновленні macOS Ventura 13.7.3

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Ventura 13.7.3.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Ventura 13.7.3

Дата випуску: 27 січня 2025 р.

AppleMobileFileIntegrity

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему зі зниженням рівня вирішено за допомогою додаткових обмежень підписування коду.

CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)

AppleMobileFileIntegrity

Доступно для: macOS Ventura

Вплив: програма може отримати доступ до інформації про контакти користувача.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2025-24100: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Доступно для: macOS Ventura

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-24114: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Доступно для: macOS Ventura

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-24121: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Доступно для: macOS Ventura

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему зі зниженням рівня, що впливає на комп’ютери Mac із процесорами Intel, вирішено за допомогою додаткових обмежень підписування коду.

CVE-2025-24122: Mickey Jin (@patch1t)

ARKit

Доступно для: macOS Ventura

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu та Xingwei Lin із Zhejiang University

Audio

Доступно для: macOS Ventura

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему вирішено завдяки додатковим перевіркам прав.

CVE-2025-24106: Wang Yu з Cyberserval

Запис оновлено 28 серпня 2025 р.

Contacts

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до контактів.

Опис: проблему з приватністю вирішено завдяки вдосконаленню маскування приватних даних для записів журналу.

CVE-2024-44172: Kirin (@Pwnrin)

CoreMedia

Доступно для: macOS Ventura

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24123: Desmond у співпраці з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

CVE-2025-24124: Pwn2car & Rotiple(HyeongSeok Jang) у співпраці з Trend Micro Zero Day Initiative

CoreRoutine

Доступно для: macOS Ventura

Вплив: програма може визначити поточне розташування користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24102: Kirin (@Pwnrin)

iCloud Photo Library

Доступно для: macOS Ventura

Вплив: програма може обходити параметри приватності.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones

ImageIO

Доступно для: macOS Ventura

Вплив: обробка зображення може призвести до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24086: DongJun Kim (@smlijun) і JongSeong Kim (@nevul37) в Enki WhiteHat, D4m0n

LaunchServices

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2025-24094: анонімний дослідник

LaunchServices

Доступно для: macOS Ventura

Вплив: програма може читати файли за межами ізольованого середовища.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.

CVE-2025-24115: анонімний дослідник

LaunchServices

Доступно для: macOS Ventura

Вплив: програма може обходити параметри приватності.

Опис: проблему з доступом вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.

CVE-2025-24116: анонімний дослідник

libxslt

Доступно для: macOS Ventura

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2024-55549: Ivan Fratric із Google Project Zero

CVE-2025-24855: Ivan Fratric із Google Project Zero

Запис додано 16 травня 2025 р.

Login Window

Доступно для: macOS Ventura

Вплив: шкідлива програма може створювати символьні посилання на захищені області диска.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-24136: 风(binary_fmyy) і Minghao Lin (@Y1nKoc)

Запис оновлено 16 травня 2025 р.

PackageKit

Доступно для: macOS Ventura

Вплив: локальний зловмисник може підвищувати свій рівень привілеїв

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24099: Mickey Jin (@patch1t)

Запис додано 29 січня 2025 р.

PackageKit

Доступно для: macOS Ventura

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)

Perl

Доступно для: macOS Ventura

Вплив: локальний користувач може змінювати захищені частини файлової системи.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24183: Arsenii Kostromin (0x3c3e)

Запис додано 16 травня 2025 р.

Photos Storage

Доступно для: macOS Ventura

Вплив: видалення розмови в Повідомленнях може відкрити контактну інформацію користувача в журналі системи.

Опис: проблему вирішено завдяки вдосконаленню маскування конфіденційної інформації.

CVE-2025-24146: 神罚(@Pwnrin)

QuartzCore

Доступно для: macOS Ventura

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54497: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Sandbox

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до знімних томів без дозволу користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)

SceneKit

Доступно для: macOS Ventura

Вплив: аналіз файлу може призводити до розкриття інформації про користувача.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-24149: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Security

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-24103: Zhongquan Li (@Guluisacat)

sips

Доступно для: macOS Ventura

Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-24185: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Запис додано 17 березня 2025 р.

sips

Доступно для: macOS Ventura

Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24139: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative», і Junsung Lee

Запис оновлено 16 травня 2025 р.

SMB

Доступно для: macOS Ventura

Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24151: анонімний дослідник

Spotlight

Доступно для: macOS Ventura

Вплив: шкідлива програма може ініціювати витік конфіденційної інформації про користувача.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) із Lupus Nova

StorageKit

Доступно для: macOS Ventura

Вплив: локальний зловмисник може підвищувати свій рівень привілеїв

Опис: проблему з дозволами вирішено завдяки вдосконаленню перевірки.

CVE-2025-24176: Yann Gascuel з Alter Solutions

WebContentFilter

Доступно для: macOS Ventura

Вплив: зловмисник може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-24154: анонімний дослідник

WindowServer

Доступно для: macOS Ventura

Вплив: зловмисник може спричиняти несподіване завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню керування життєвим циклом об’єктів.

CVE-2025-24120: PixiePoint Security

Xsan

Доступно для: macOS Ventura

Вплив: програма може підвищувати рівень привілеїв.

Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-24156: анонімний дослідник

Додаткова подяка

Static Linker

Дякуємо за допомогу Holger Fuhrmannek.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: