Tietoja macOS Ventura 13.7.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Ventura 13.7.2:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.
macOS Ventura 13.7.2
Julkaistu 11.12.2024
Accounts
Saatavuus: macOS Ventura
Vaikutus: Kätketyt-albumin kuvia saattoi katsoa ilman todentautumista.
Kuvaus: logiikkaongelma on korjattu parantamalla tiedostojen käsittelyä.
CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang (ZUSO ART) ja taikosoup
Kohta lisätty 27.1.2025
APFS
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) ja nimetön tutkija
Kohta lisätty 27.1.2025
Apple Software Restore
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54477: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit, Kandji)
AppleMobileFileIntegrity
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2024-54527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Ventura
Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)
Audio
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-54529: Dillon Franke yhteistyössä Google Project Zeron kanssa
Crash Reporter
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: logiikkaongelma on korjattu parantamalla tiedostojen käsittelyä.
CVE-2024-44300: nimetön tutkija
DiskArbitration
Saatavuus: macOS Ventura
Vaikutus: toinen käyttäjä pystyi käyttämään salattua taltiota salasanaa pyytämättä.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2024-54466: Michael Cohen
Disk Utility
Saatavuus: macOS Ventura
Vaikutus: näkyviintuontikomennon suorittaminen saattoi odottamatta suorittaa mielivaltaista koodia.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2024-54489: D’Angelo Gonzalez, CrowdStrike
Dock
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54547: Rodolphe BRUNETTI (@eisw0lf, Lupus Nova)
Kohta lisätty 27.1.2025
FontParser
Saatavuus: macOS Ventura
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54486: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
ImageIO
Saatavuus: macOS Ventura
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54500: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen kanssa
Kernel
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54468: nimetön tutkija
Kohta lisätty 27.1.2025
Kernel
Saatavuus: macOS Ventura
Vaikutus: hyökkääjä saattoi pystyä luomaan kirjoitussuojatun muistikuvauksen, johon voitiin kirjoittaa.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2024-54494: sohybbyk
Kernel
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.
Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2024-54510: Joseph Ravichandran (@0xjprx, MIT CSAIL)
libarchive
Saatavuus: macOS Ventura
Vaikutus: haitallisen tiedoston käsitteleminen saattoi johtaa palvelunestoon.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-44201: Ben Roeder
libexpat
Saatavuus: macOS Ventura
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2024-45490
libxpc
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54514: nimetön tutkija
libxpc
Saatavuus: macOS Ventura
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-44225: 风沐云烟 (@binary_fmyy)
PackageKit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54474: Mickey Jin (@patch1t)
CVE-2024-54476: Mickey Jin (@patch1t), Bohdan Stasiuk (@Bohdan_Stasiuk)
QuickTime Player
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä lukemaan eristyksensä ulkopuolisia tiedostoja.
Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.
CVE-2024-54537: Mickey Jin (@patch1t)
Kohta lisätty 27.1.2025
SceneKit
Saatavuus: macOS Ventura
Vaikutus: haitallisen tiedoston käsittely saattoi johtaa palvelunestoon.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54501: Michael DePlante (@izobashi, Trend Micron Zero Day Initiative)
Screen Sharing Server
Saatavuus: macOS Ventura
Vaikutus: Käyttäjä, jolla oli oikeudet näytön jakoon, saattoi pystyä näkemään toisen käyttäjän näytön.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-44248: Halle Winkler, Politepix (theoffcuts.org)
SharedFileList
Saatavuus: macOS Ventura
Vaikutus: hyökkääjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2024-54557: nimetön tutkija
Kohta lisätty 27.1.2025
SharedFileList
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2024-54528: nimetön tutkija
SharedFileList
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2024-54498: nimetön tutkija
Software Update
Saatavuus: macOS Ventura
Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: logiikkaongelma on korjattu parantamalla tiedostojen käsittelyä.
CVE-2024-44291: Arsenii Kostromin (0x3c3e)
StorageKit
Saatavuus: macOS Ventura
Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2024-44224: Amy (@asentientbot)
System Settings
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2024-54520: Rodolphe BRUNETTI (@eisw0lf)
Kohta lisätty 27.1.2025
System Settings
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä määrittämään käyttäjän sijainnin.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-54475: Kirin (@Pwnrin)
Kohta lisätty 27.1.2025
Vim
Saatavuus: macOS Ventura
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2024-45306
Kohta lisätty 27.1.2025
WindowServer
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä kaappaamaan näppäimistötapahtumia lukitulta näytöltä.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-54539: Halle Winkler, Politepix theoffcuts.org ja Trent @lathiat Lloyd
Kohta lisätty 27.1.2025
Kiitokset
CUPS
Haluamme kiittää avusta evilsocketia.
Proximity
Haluamme kiittää avusta Junming C.:tä (@Chapoly1305) ja professori Qiang Zengiä (George Mason University).
Sandbox
Haluamme kiittää avusta IES Red Teamia (ByteDance).
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.