Informacije o sigurnosnom sadržaju sustava macOS Ventura 13.6.7
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Ventura 13.6.7.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Ventura 13.6.7
Objavljeno 13. svibnja 2024.
Core Data
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen boljom provjerom varijabli u okruženju.
CVE-2024-27805: Kirin (@Pwnrin) i 小来来 (@Smi1eSEC)
Unos je dodan 10. lipnja 2024.
CoreMedia
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Unos je dodan 10. lipnja 2024.
CoreMedia
Dostupno za: macOS Ventura
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27831: Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations)
Unos je dodan 10. lipnja 2024.
Finder
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-27827: anonimni istraživač
Unos je dodan 10. lipnja 2024.
Foundation
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
Dostupno za: macOS Ventura
Učinak: aplikacija bez privilegija mogla bi bilježiti upotrebu tipki iz drugih aplikacija, uključujući one koje za koje se upotrebljava siguran način unosa
Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.
CVE-2024-27799: anonimni istraživač
Unos je dodan 10. lipnja 2024.
Kernel
Dostupno za: macOS Ventura
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zaštite kernelske memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27840: anonimni istraživač
Unos je dodan 10. lipnja 2024.
Kernel
Dostupno za: macOS Ventura
Učinak: napadač s mrežnim ovlastima mogao bi lažirati mrežne pakete
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2024-27823: prof. Benny Pinkas sa Sveučilišta Bar-Ilan, prof. Amit Klein s Hebrejskog sveučilišta i EP
Unos je dodan 29. srpnja 2024.
Login Window
Dostupno za: macOS Ventura
Učinak: napadač koji zna vjerodajnice jednog standardnog korisnika može otključati zaključani zaslon drugog standardnog korisnika na istom Mac računalu
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42861: anonimni istraživač, 凯 王, Steven Maser, Matthew McLean, Brandon Chesser, CPU IT, inc i Avalon IT Team (Concentrix)
Maps
Dostupno za: macOS Ventura
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-27810: LFY@secsys (Sveučilište Fudan)
Unos je dodan 10. lipnja 2024.
Messages
Dostupno za: macOS Ventura
Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-27800: Daniel Zajork i Joshua Zajork
Unos je dodan 10. lipnja 2024.
Metal
Dostupno za: macOS Ventura
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) u suradnji s inicijativom Zero Day Initiative (Trend Micro)
Unos je dodan 10. lipnja 2024.
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.
CVE-2024-27885: Mickey Jin (@patch1t)
Unos je dodan 10. lipnja 2024.
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)
Unos je dodan 10. lipnja 2024.
RTKit
Dostupno za: macOS Ventura
Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2024-23296
SharedFileList
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-27843: Mickey Jin (@patch1t)
Unos je dodan 10. lipnja 2024.
Shortcuts
Dostupno za: macOS Ventura
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27855: anonimni istraživač
Unos je dodan 10. lipnja 2024.
Spotlight
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanom sanacijom okruženja.
CVE-2024-27806
Unos je dodan 10. lipnja 2024.
StorageKit
Dostupno za: macOS Ventura
Učinak: korisnik bi si mogao povećati ovlasti
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2024-27798: Yann GASCUEL (Alter Solutions)
Unos je dodan 10. lipnja 2024.
Sync Services
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: taj je problem riješen poboljšanim provjerama
CVE-2024-27847: Mickey Jin (@patch1t)
Unos je dodan 10. lipnja 2024.
Voice Control
Dostupno za: macOS Ventura
Učinak: korisnik bi si mogao povećati ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27796: ajajfxhj
Unos je dodan 10. lipnja 2024.
Dodatna zahvala
App Store
Na pomoći zahvaljujemo anonimnom istraživaču.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.