Tietoja macOS Ventura 13.6.8:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Ventura 13.6.8:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.
macOS Ventura 13.6.8
Julkaistu 29.7.2024
APFS
Saatavuus: macOS Ventura
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: ongelma on ratkaistu parantamalla datasäilön käyttöoikeusrajoitusta.
CVE-2024-40783: Csaba Fitzl (@theevilbit, Kandji)
Apple Neural Engine
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-27826: Minghao Lin ja Ye Zhang (@VAR10CK, Baidu Security)
AppleMobileFileIntegrity
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.
CVE-2024-40774: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.
CVE-2024-40775: Mickey Jin (@patch1t)
AppleVA
Saatavuus: macOS Ventura
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-27877: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
CoreGraphics
Saatavuus: macOS Ventura
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2024-40799: D4m0n
CoreMedia
Saatavuus: macOS Ventura
Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-27873: Amir Bazine ja Karsten König (CrowdStrike Counter Adversary Operations)
curl
Saatavuus: macOS Ventura
Vaikutus: curlissa oli useita ongelmia.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-40827: nimetön tutkija
dyld
Saatavuus: macOS Ventura
Vaikutus: hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2024-40815: w0wbox
ImageIO
Saatavuus: macOS Ventura
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Saatavuus: macOS Ventura
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2024-40806: Yisumi
ImageIO
Saatavuus: macOS Ventura
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2024-40784: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen ja Gandalf4a:n kanssa
Kernel
Saatavuus: macOS Ventura
Vaikutus: paikallinen hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sammumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-40816: sqrtpwn
Kernel
Saatavuus: macOS Ventura
Vaikutus: paikallinen hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sammumisen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-40788: Minghao Lin ja Jiaxun Zhu (Zhejiang University)
Keychain Access
Saatavuus: macOS Ventura
Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-40803: Patrick Wardle (DoubleYou & the Objective-See Foundation)
NetworkExtension
Saatavuus: macOS Ventura
Vaikutus: yksityinen selaus saattaa vuotaa jonkin verran selaushistoriaa.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-40796: Adam M.
OpenSSH
Saatavuus: macOS Ventura
Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2024-6387
PackageKit
Saatavuus: macOS Ventura
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-40823: Zhongquan Li (@Guluisacat, Dawn Security Lab of JingDong)
PackageKit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit, Kandji) ja Mickey Jin (@patch1t)
Restore Framework
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.
CVE-2024-40800: Claudio Bozzato ja Francesco Benvenuto (Cisco Talos.)
Safari
Saatavuus: macOS Ventura
Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen.
Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.
CVE-2024-40817: Yadhu Krishna M ja Narendra Bhati, Manager of Cyber Security (Suma Soft Pvt.) Ltd, Pune, Intia)
Scripting Bridge
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-27881: Kirin (@Pwnrin)
Security
Saatavuus: macOS Ventura
Vaikutus: Muiden valmistajien appien laajennukset eivät ehkä vastaanottaneet oikeita eristysrajoituksia.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2024-40821: Joshua Jones
Security
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä lukemaan Safarin selaushistoriaa.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.
CVE-2024-40798: Adam M.
Shortcuts
Saatavuus: macOS Ventura
Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-40833: nimetön tutkija
CVE-2024-40807: nimetön tutkija
CVE-2024-40835: nimetön tutkija
Shortcuts
Saatavuus: macOS Ventura
Vaikutus: pikakomento saattoi pystyä ohittamaan arkaluontoisia Pikakomennot-apin asetuksia.
Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.
CVE-2024-40834: Marcio Almeida (Tanto Security)
Shortcuts
Saatavuus: macOS Ventura
Vaikutus: Oikotie saattoi pystyä ohittamaan internet-yhteyden lupavaatimukset
Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.
CVE-2024-40787: nimetön tutkija
Shortcuts
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Saatavuus: macOS Ventura
Vaikutus: Oikotie saattoi pystyä ohittamaan internet-yhteyden lupavaatimukset
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-40809: nimetön tutkija
CVE-2024-40812: nimetön tutkija
Siri
Saatavuus: macOS Ventura
Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.
Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.
CVE-2024-40818: Bistrit Dahal ja Srijan Poudel
Siri
Saatavuus: macOS Ventura
Vaikutus: hyökkääjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-40786: Bistrit Dahal
Siri
Saatavuus: macOS Ventura
Vaikutus: eristetty appi saattoi pystyä käyttämään järjestelmälokeissa olevia arkaluontoisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-44205: Jiahui Hu (梅零落) ja Meng Zhang (鲸落) (NorthSea)
Kohta lisätty 15.10.2024
StorageKit
Saatavuus: macOS Ventura
Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-40828: Mickey Jin (@patch1t)
Time Zone
Saatavuus: macOS Ventura
Vaikutus: hyökkääjä saattoi pystyä lukemaan toiselle käyttäjälle kuuluvaa tietoa.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2024-23261: Matthew Loewen
VoiceOver
Saatavuus: macOS Ventura
Vaikutus: käyttäjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College of Technology Bhopal India)
Kiitokset
Image Capture
Haluamme kiittää avusta nimetöntä tutkijaa.
Shortcuts
Haluamme kiittää avusta nimetöntä tutkijaa.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.