Informacije o sigurnosnom sadržaju sustava macOS Ventura 13.6.8
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Ventura 13.6.8.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Ventura 13.6.8
Objavljeno 29. srpnja 2024.
APFS
Dostupno za: macOS Ventura
Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti
Opis: problem je riješen boljim ograničavanje pristupa spremištu podataka.
CVE-2024-40783: Csaba Fitzl (@theevilbit) (Kandji)
Apple Neural Engine
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27826: Minghao Lin i Ye Zhang (@VAR10CK) (Baidu Security)
AppleMobileFileIntegrity
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem vraćanja na stariju verziju riješen je dodatnim ograničenjima potpisivanja koda.
CVE-2024-40774: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke
Opis: problem vraćanja na stariju verziju riješen je dodatnim ograničenjima potpisivanja koda.
CVE-2024-40775: Mickey Jin (@patch1t)
AppleVA
Dostupno za: macOS Ventura
Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27877: Michael DePlante (@izobashi), projekt Zero Day Initiative (Trend Micro)
CoreGraphics
Dostupno za: macOS Ventura
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-40799: D4m0n
CoreMedia
Dostupno za: macOS Ventura
Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27873: Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations)
curl
Dostupno za: macOS Ventura
Učinak: veći broj problema u medijateci curl
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-40827: anonimni istraživač
dyld
Dostupno za: macOS Ventura
Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2024-40815: w0wbox
ImageIO
Dostupno za: macOS Ventura
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Dostupno za: macOS Ventura
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-40806: Yisumi
ImageIO
Dostupno za: macOS Ventura
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-40784: Junsung Lee u suradnji s projektom Zero Day Initiative (Trend Micro) i korisnik Gandalf4a
Kernel
Dostupno za: macOS Ventura
Učinak: lokalni napadač mogao bi uzrokovati neočekivano isključivanje sustava
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-40816: sqrtpwn
Kernel
Dostupno za: macOS Ventura
Učinak: lokalni napadač mogao bi uzrokovati neočekivano isključivanje sustava
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2024-40788: Minghao Lin i Jiaxun Zhu sa Sveučilišta Zhejiang
Keychain Access
Dostupno za: macOS Ventura
Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2024-40803: Patrick Wardle (DoubleYou) & Objective-See Foundation
NetworkExtension
Dostupno za: macOS Ventura
Učinak: tijekom privatne sesije pregledavanja može doći do otkrivanja podataka o ranijim pregledima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-40796: Adam M.
OpenSSH
Dostupno za: macOS Ventura
Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2024-6387
PackageKit
Dostupno za: macOS Ventura
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-40823: Zhongquan Li (@Guluisacat) (Dawn Security Lab, JingDong)
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit) (Kandji) i Mickey Jin (@patch1t)
Restore Framework
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-40800: Claudio Bozzato i Francesco Benvenuto (Cisco Talos).
Safari
Dostupno za: macOS Ventura
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2024-40817: Yadhu Krishna M i Narendra Bhati, direktor odjela za kibernetičku sigurnost tvrtke Suma Soft Pvt. Ltd, Pune, Indija)
Scripting Bridge
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-27881: Kirin (@Pwnrin)
Sigurnost
Dostupno za: macOS Ventura
Učinak: Ekstenzije aplikacija trećih strana ne mogu primati točna ograničenja za memoriju.
Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.
CVE-2024-40821: Joshua Jones
Sigurnost
Dostupno za: macOS Ventura
Učinak: aplikacija može čitati podatke o ranijim pregledavanjima putem Safarija
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2024-40798: Adam M.
Shortcuts
Dostupno za: macOS Ventura
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-40833: anonimni istraživač
CVE-2024-40807: anonimni istraživač
CVE-2024-40835: anonimni istraživač
Shortcuts
Dostupno za: macOS Ventura
Učinak: prečac može zaobići osjetljive postavke aplikacije Prečaci
Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.
CVE-2024-40834: Marcio Almeida (Tanto Security)
Shortcuts
Dostupno za: macOS Ventura
Učinak: prečac bi mogao zaobići preduvjete za internetska dopuštenja
Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.
CVE-2024-40787: anonimni istraživač
Shortcuts
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Dostupno za: macOS Ventura
Učinak: prečac bi mogao zaobići preduvjete za internetska dopuštenja
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-40809: anonimni istraživač
CVE-2024-40812: anonimni istraživač
Siri
Dostupno za: macOS Ventura
Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima
Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.
CVE-2024-40818: Bistrit Dahal i Srijan Poudel
Siri
Dostupno za: macOS Ventura
Učinak: napadač bi mogao pregledavati osjetljive korisničke podatke
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-40786: Bistrit Dahal
Siri
Dostupno za: macOS Ventura
Utjecaj: aplikacija pokrenuta u sigurnom okruženju mogla bi pristupiti osjetljivim korisničkim podacima u zapisima sustava
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-44205: Jiahui Hu (梅零落) i Meng Zhang (鲸落) (NorthSea)
Unos je dodan 15. listopada 2024.
StorageKit
Dostupno za: macOS Ventura
Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-40828: Mickey Jin (@patch1t)
Time Zone
Dostupno za: macOS Ventura
Učinak: napadač bi mogao čitati podatke koji pripadaju drugom korisniku
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2024-23261: Matthew Loewen
VoiceOver
Dostupno za: macOS Ventura
Učinak: korisnik bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)
Dodatna zahvala
Image Capture
Na pomoći zahvaljujemo anonimnom istraživaču.
Shortcuts
Na pomoći zahvaljujemo anonimnom istraživaču.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.