Tietoja macOS Ventura 13.7.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Ventura 13.7.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

macOS Ventura 13.7.3

AppleMobileFileIntegrity

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)

AppleMobileFileIntegrity

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2025-24100: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24114: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-24121: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: Intel-pohjaisiin Mac-tietokoneisiin vaikuttanut aiempaan versioon päivittämiseen liittynyt ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2025-24122: Mickey Jin (@patch1t)

ARKit

Saatavuus: macOS Ventura

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu ja Xingwei Lin (Zhejiangin yliopisto)

Audio

Saatavuus: macOS Ventura

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24106: Wang Yu (Cyberserval)

Contacts

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään yhteystietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-44172: Kirin (@Pwnrin)

CoreMedia

Saatavuus: macOS Ventura

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24123: Desmond yhteistyössä Trend Micro Zero Day Initiativen kanssa

CVE-2025-24124: Pwn2car ja Rotiple (HyeongSeok Jang) yhteistyössä Trend Micro Zero Day Initiativen kanssa

CoreRoutine

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä määrittämään käyttäjän sijainnin.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24102: Kirin (@Pwnrin)

iCloud Photo Library

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones

ImageIO

Saatavuus: macOS Ventura

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24086: DongJun Kim (@smlijun) ja JongSeong Kim (@nevul37) (Enki WhiteHat), D4m0n

LaunchServices

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2025-24094: nimetön tutkija

LaunchServices

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä lukemaan tiedostoja sen hiekkalaatikon ulkopuolella.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-24115: nimetön tutkija

LaunchServices

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-24116: nimetön tutkija

Login Window

Saatavuus: macOS Ventura

Vaikutus: haitallinen appi saattoi pystyä luomaan symbolisia linkkejä levyn suojattuihin osiin.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-24136: 云散

PackageKit

Saatavuus: macOS Ventura

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24099: Mickey Jin (@patch1t)

PackageKit

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)

Photos Storage

Saatavuus: macOS Ventura

Vaikutus: keskustelun poistaminen Viestit-apissa saattoi paljastaa käyttäjän yhteystiedot järjestelmän kirjauksessa.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2025-24146: 神罚(@Pwnrin)

QuartzCore

Saatavuus: macOS Ventura

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54497: nimetön tutkija yhteistyössä Trend Micro Zero Day Initiativen kanssa

Sandbox

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään siirrettäviä taltioita ilman käyttäjän suostumusta.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)

SceneKit

Saatavuus: macOS Ventura

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-24149: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Security

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-24103: Zhongquan Li (@Guluisacat)

sips

Saatavuus: macOS Ventura

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24139: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

SMB

Saatavuus: macOS Ventura

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24151: nimetön tutkija

Spotlight

Saatavuus: macOS Ventura

Vaikutus: Haittaohjelma saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf, Lupus Nova)

StorageKit

Saatavuus: macOS Ventura

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan

Kuvaus: käyttöoikeusongelma on ratkaistu parantamalla validointia.

CVE-2025-24176: Yann GASCUEL (Alter Solutions)

WebContentFilter

Saatavuus: macOS Ventura

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-24154: nimetön tutkija

WindowServer

Saatavuus: macOS Ventura

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: Ongelma ratkaistiin parantamalla objektien käyttöiän hallintaa.

CVE-2025-24120: PixiePoint Security

Xsan

Saatavuus: macOS Ventura

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-24156: nimetön tutkija

Kiitokset

sips

Haluamme kiittää avusta Trend Micron Zero Day Initiativen parissa työskentelevää Hossein Lotfia (@hosselot).

Static Linker

Haluamme kiittää avusta Holger Fuhrmannekia.