Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Ventura 13.6.8
Το παρόν έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Ventura 13.6.8.
Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες κυκλοφορίες παρατίθενται στη σελίδα κυκλοφοριών ασφάλειας της Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
macOS Ventura 13.6.8
Κυκλοφόρησε στις 29 Ιουλίου 2024
APFS
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις απορρήτου
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο περιορισμό πρόσβασης στο κοντέινερ δεδομένων.
CVE-2024-40783: Csaba Fitzl (@theevilbit) της Kandji
Apple Neural Engine
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2024-27826: Minghao Lin και Ye Zhang (@VAR10CK) της Baidu Security
AppleMobileFileIntegrity
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Ένα πρόβλημα υποβάθμισης αντιμετωπίστηκε με πρόσθετους περιορισμούς υπογραφής κώδικα.
CVE-2024-40774: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Ένα πρόβλημα υποβάθμισης αντιμετωπίστηκε με πρόσθετους περιορισμούς υπογραφής κώδικα.
CVE-2024-40775: Mickey Jin (@patch1t)
AppleVA
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε άρνηση υπηρεσίας ή ενδεχομένως να αποκαλύψει περιεχόμενα της μνήμης
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2024-27877: Michael DePlante (@izobashi) της πρωτοβουλίας Zero Day Initiative της Trend Micro
CoreGraphics
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2024-40799: D4m0n
CoreMedia
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου βίντεο ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2024-27873: Amir Bazine και Karsten König της CrowdStrike Counter Adversary Operations
curl
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Πολλά προβλήματα στο curl
Περιγραφή: Αυτή είναι μια ευπάθεια στον κώδικα ανοιχτού κώδικα και το λογισμικό Apple είναι ανάμεσα στα έργα που επηρεάζονται. Το CVE-ID εκχωρήθηκε από τρίτο μέρος. Μάθετε περισσότερα σχετικά με το πρόβλημα και το CVE-ID στο cve.org.
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα αντικατάστασης αυθαίρετων αρχείων
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2024-40827: ένας ανώνυμος ερευνητής
dyld
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας κακόβουλος εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής μπορεί να έχει τη δυνατότητα να παρακάμψει τον έλεγχο ταυτότητας δείκτη
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.
CVE-2024-40815: w0wbox
ImageIO
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Αυτή είναι μια ευπάθεια στον κώδικα ανοιχτού κώδικα και το λογισμικό Apple είναι ανάμεσα στα έργα που επηρεάζονται. Το CVE-ID εκχωρήθηκε από τρίτο μέρος. Μάθετε περισσότερα σχετικά με το πρόβλημα και το CVE-ID στο cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2024-40806: Yisumi
ImageIO
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής
Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2024-40784: Junsung Lee σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro και Gandalf4a
Kernel
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό του συστήματος
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2024-40816: sqrtpwn
Kernel
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό του συστήματος
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2024-40788: Minghao Lin και Jiaxun Zhu από το Zhejiang University
Keychain Access
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπων αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2024-40803: Patrick Wardle της DoubleYou & the Objective-See Foundation
NetworkExtension
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η ιδιωτική περιήγηση μπορεί να διαρρέει κάποιο ιστορικό περιήγησης
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2024-40796: Adam M.
OpenSSH
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Αυτή είναι μια ευπάθεια στον κώδικα ανοιχτού κώδικα και το λογισμικό Apple είναι ανάμεσα στα έργα που επηρεάζονται. Το CVE-ID εκχωρήθηκε από τρίτο μέρος. Μάθετε περισσότερα σχετικά με το πρόβλημα και το CVE-ID στο cve.org.
CVE-2024-6387
PackageKit
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2024-40823: Zhongquan Li (@Guluisacat) από το Dawn Security Lab της JingDong
PackageKit
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit) της Kandji και Mickey Jin (@patch1t)
Restore Framework
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2024-40800: Claudio Bozzato και Francesco Benvenuto της Cisco Talos.
Safari
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επίσκεψη σε έναν ιστότοπο με κακόβουλο περιεχόμενο ενδέχεται να προκαλέσει πλαστογράφηση του περιβάλλοντος χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό περιβάλλοντος χρήστη.
CVE-2024-40817: Yadhu Krishna M και Narendra Bhati, Manager της Cyber Security At Suma Soft Pvt. Ltd, Πούνε (Ινδία)
Scripting Bridge
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση στις πληροφορίες σχετικά με τις επαφές ενός χρήστη
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2024-27881: Kirin (@Pwnrin)
Security
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Οι επεκτάσεις εφαρμογών τρίτων κατασκευαστών ενδέχεται να μην λαμβάνουν τους σωστούς περιορισμούς του sandbox
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.
CVE-2024-40821: Joshua Jones
Security
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης του ιστορικού περιήγησης του Safari
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη αποκάλυψη ευαίσθητων πληροφοριών.
CVE-2024-40798: Adam M.
Shortcuts
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να χρησιμοποιεί ευαίσθητα δεδομένα με συγκεκριμένες ενέργειες χωρίς προτροπή προς τον χρήστη
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2024-40833: ένας ανώνυμος ερευνητής
CVE-2024-40807: ένας ανώνυμος ερευνητής
CVE-2024-40835: ένας ανώνυμος ερευνητής
Shortcuts
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να παρακάμψει ευαίσθητες ρυθμίσεις της εφαρμογής Συντομεύσεις
Περιγραφή: Αυτό το ζήτημα αντιμετωπίστηκε με την προσθήκη μιας πρόσθετης προτροπής για συναίνεση χρήστη.
CVE-2024-40834: Marcio Almeida από την Tanto Security
Shortcuts
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να παρακάμψει τις απαιτήσεις άδειας του διαδικτύου
Περιγραφή: Αυτό το ζήτημα αντιμετωπίστηκε με την προσθήκη μιας πρόσθετης προτροπής για συναίνεση χρήστη.
CVE-2024-40787: ένας ανώνυμος ερευνητής
Shortcuts
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να παρακάμψει τις απαιτήσεις άδειας του διαδικτύου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2024-40809: ένας ανώνυμος ερευνητής
CVE-2024-40812: ένας ανώνυμος ερευνητής
Siri
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας εισβολέας με φυσική πρόσβαση ενδέχεται να μπορέσει να χρησιμοποιήσει το Siri για να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τον περιορισμό των επιλογών που διατίθενται σε μια κλειδωμένη συσκευή.
CVE-2024-40818: Bistrit Dahal και Srijan Poudel
Siri
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προβάλει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2024-40786: Bistrit Dahal
Siri
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή στο sandbox ενδέχεται να μπορεί να έχει πρόσβαση σε ευαίσθητα δεδομένα χρήστη στα αρχεία καταγραφής συστήματος
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2024-44205: Jiahui Hu (梅零落) και Meng Zhang (鲸落) της NorthSea
Η καταχώριση προστέθηκε στις 15 Οκτωβρίου 2024
StorageKit
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2024-40828: Mickey Jin (@patch1t)
Time Zone
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να έχει δυνατότητα ανάγνωσης πληροφοριών άλλου χρήστη
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2024-23261: Matthew Loewen
VoiceOver
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να προβάλει περιορισμένο περιεχόμενο από την οθόνη κλειδώματος
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) του Lakshmi Narain College of Technology Bhopal India
Επιπλέον αναγνώριση
Image Capture
Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.
Shortcuts
Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.