Informacije o sigurnosnom sadržaju sustava macOS Ventura 13.7.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Ventura 13.7.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda

Informacije o sigurnosnom sadržaju sustava macOS Ventura 13.7.1

App Support

Dostupno za: macOS Ventura

Učinak: zlonamjerna aplikacija mogla bi pokretati proizvoljno odabrane prečace bez pristanka korisnika

Opis: problem s obradom putova riješen je poboljšanom logikom.

CVE-2024-44255: anonimni istraživač

AppleAVD

Dostupno za: macOS Ventura

Učinak: parsanje zlonamjernih video datoteka može dovesti do neočekivanog zatvaranja sustava

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

AppleMobileFileIntegrity

Dostupno za: macOS Ventura

Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2024-44270: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem smanjenja verzije koji utječe na Mac računala s Intelovim čipom riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2024-44280: Mickey Jin (@patch1t)

ARKit

Dostupno za: macOS Ventura

Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44126: Holger Fuhrmannek

Assets

Dostupno za: macOS Ventura

Učinak: zlonamjerna aplikacija s korijenskim privilegijama možda bi mogla izmjenjivati sadržaj sistemskih datoteka

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-44260: Mickey Jin (@patch1t)

CoreServicesUIAgent

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2024-44295: anonimni istraživač

CoreText

Dostupno za: macOS Ventura

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44240: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CVE-2024-44302: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CUPS

Dostupno za: macOS Ventura

Učinak: napadač s administratorskim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke

Opis: problem je postojao u raščlanjivanju URL-ova. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44213: Alexandre Bedard

DiskArbitration

Dostupno za: macOS Ventura

Učinak: aplikacija u memoriji za testiranje mogla bi pristupiti povjerljivim korisničkim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-40855: Csaba Fitzl (@theevilbit) (Kandji)

Find My

Dostupno za: macOS Ventura

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-44289: Kirin (@Pwnrin)

Foundation

Dostupno za: macOS Ventura

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44282: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Game Controllers

Dostupno za: macOS Ventura

Učinak: napadač s fizičkim pristupom može aplikacijama koje se izvode na zaključanom uređaju slati naredbe putem kontrolera za igre

Opis: problem je riješen ograničavanjem opcija na zaključanom uređaju.

CVE-2024-44265: Ronny Stiftel

ImageIO

Dostupno za: macOS Ventura

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2024-44215: Junsung Lee i inicijativa Zero Day (Trend Micro)

ImageIO

Dostupno za: macOS Ventura

Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-44297: Jex Amro

Installer

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2024-44216: Zhongquan Li (@Guluisacat)

Installer

Dostupno za: macOS Ventura

Učinak: zlonamjerna aplikacija mogla bi izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44287: Mickey Jin (@patch1t)

IOGPUFamily

Dostupno za: macOS Ventura

Učinak: zlonamjerna aplikacija mogla bi uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44197: Wang Yu (Cyberserval)

Kernel

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

LaunchServices

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla izaći izvan ograničene memorije

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44122: anonimni istraživač

Maps

Dostupno za: macOS Ventura

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-44222: Kirin (@Pwnrin)

Messages

Dostupno za: macOS Ventura

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2024-44256: Mickey Jin (@patch1t)

PackageKit

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: slaba točka zbog brisanja puta riješena je sprječavanjem izvršavanja koda sa slabim točkama uz povećane ovlasti.

CVE-2024-44156: Arsenii Kostromin (0x3c3e)

CVE-2024-44159: Mickey Jin (@patch1t)

PackageKit

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-44196: Csaba Fitzl (@theevilbit) (Kandji)

PackageKit

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44253: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) (Kandji)

PackageKit

Dostupno za: macOS Ventura

Učinak: zlonamjerna aplikacija mogla bi izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44247: Un3xploitable (CW Research Inc)

CVE-2024-44267: Bohdan Stasiuk (@Bohdan_Stasiuk), Un3xploitable (CW Research Inc), Pedro Tôrres (@t0rr3sp3dr0)

CVE-2024-44301: Bohdan Stasiuk (@Bohdan_Stasiuk), Un3xploitable (CW Research Inc), Pedro Tôrres (@t0rr3sp3dr0)

CVE-2024-44275: Arsenii Kostromin (0x3c3e)

PackageKit

Dostupno za: macOS Ventura

Učinak: napadač s korijenskim ovlastima mogao bi izbrisati zaštićene datoteke sustava

Opis: slaba točka zbog brisanja puta riješena je sprječavanjem izvršavanja koda sa slabim točkama uz povećane ovlasti.

CVE-2024-44294: Mickey Jin (@patch1t)

Screen Capture

Dostupno za: macOS Ventura

Učinak: napadač s fizičkim pristupom možda će moći podijeliti stavke sa zaključanog zaslona

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44137: Halle Winkler, Politepix @hallewinkler

Shortcuts

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Dostupno za: macOS Ventura

Učinak: zlonamjerna aplikacija može upotrebljavati prečace za pristup ograničenim datotekama

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44269: anonimni istraživač

sips

Dostupno za: macOS Ventura

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-44236: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CVE-2024-44237: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

sips

Dostupno za: macOS Ventura

Učinak: raščlanjivanje zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44284: Junsung Lee, dw0r! i inicijativa Zero Day (Trend Micro)

sips

Dostupno za: macOS Ventura

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44279: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CVE-2024-44281: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

sips

Dostupno za: macOS Ventura

Učinak: raščlanjivanje zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-44283: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Siri

Dostupno za: macOS Ventura

Učinak: aplikacija u memoriji za testiranje mogla bi pristupiti osjetljivim korisničkim podacima u zapisnicima sustava

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-44278: Kirin (@Pwnrin)

SystemMigration

Dostupno za: macOS Ventura

Učinak: zlonamjerna aplikacija mogla bi stvarati simboličke veze na zaštićena područja diska

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2024-44264: Mickey Jin (@patch1t)

WindowServer

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-44257: Bohdan Stasiuk (@Bohdan_Stasiuk)

Dodatna zahvala

NetworkExtension

Na pomoći zahvaljujemo Patricku Wardleu (DoubleYou) i organizaciji Objective-See Foundation.

Security

Na pomoći zahvaljujemo Bingu Shiju, Wenchaou Liju i Xiaolongu Baiju (Alibaba Group).

Spotlight

Na pomoći zahvaljujemo Paulu Henriku Batisti Rosi de Castro (@paulohbrc).