Informacije o sigurnosnom ažuriranju sustava macOS Ventura 13.7.2
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Ventura 13.7.2.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Ventura 13.7.2
Izdano 11. prosinca 2024.
Accounts
Dostupno za: macOS Ventura
Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti
Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.
CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang (ZUSO ART) i taikosoup
Unos je dodan 27. siječnja 2025.
APFS
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) i anonimni istraživač
Unos je dodan 27. siječnja 2025.
Apple Software Restore
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54477: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) (Kandji)
AppleMobileFileIntegrity
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2024-54527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Ventura
Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)
Audio
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-54529: Dillon Franke i Google Project Zero
Crash Reporter
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.
CVE-2024-44300: anonimni istraživač
DiskArbitration
Dostupno za: macOS Ventura
Učinak: šifriranoj diskovnoj jedinici mogao je pristupiti neki drugi korisnik bez upita za lozinku
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2024-54466: Michael Cohen
Disk Utility
Dostupno za: macOS Ventura
Učinak: pokretanjem naredbe za montažu neočekivano se mogao pokrenuti proizvoljni kod
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-54489: D’Angelo Gonzalez (CrowdStrike)
Dock
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54547: Rodolphe BRUNETTI (@eisw0lf) (Lupus Nova)
Unos je dodan 27. siječnja 2025.
FontParser
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54486: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
ImageIO
Dostupno za: macOS Ventura
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54500: Junsung Lee i inicijativa Zero Day (Trend Micro)
Kernel
Dostupno za: macOS Ventura
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54468: anonimni istraživač
Unos je dodan 27. siječnja 2025.
Kernel
Dostupno za: macOS Ventura
Učinak: napadači su mogli stvoriti mapiranje memorije samo za čitanje u koju se moglo zapisivati
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2024-54494: sohybbyk
Kernel
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2024-54510: Joseph Ravichandran (@0xjprx) (MIT CSAIL)
libarchive
Dostupno za: macOS Ventura
Učinak: obradom zlonamjerne datoteke moglo je doći do odbijanja usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-44201: Ben Roeder
libexpat
Dostupno za: macOS Ventura
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2024-45490
libxpc
Dostupno za: macOS Ventura
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54514: anonimni istraživač
libxpc
Dostupno za: macOS Ventura
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-44225: 风沐云烟(@binary_fmyy)
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54474: Mickey Jin (@patch1t)
CVE-2024-54476: Mickey Jin (@patch1t), Bohdan Stasiuk (@Bohdan_Stasiuk)
QuickTime Player
Dostupno za: macOS Ventura
Učinak: aplikacije su mogle pročitati datoteke izvan ograničene memorije i zapisivati u njih
Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.
CVE-2024-54537: Mickey Jin (@patch1t)
Unos je dodan 27. siječnja 2025.
SceneKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjerne datoteke moglo se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54501: Michael DePlante (@izobashi), projekt Zero Day Initiative (Trend Micro)
Screen Sharing Server
Dostupno za: macOS Ventura
Učinak: korisnik s pristupom dijeljenju zaslona mogao bi vidjeti zaslon drugog korisnika
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-44248: Halle Winkler, Politepix (theoffcuts.org)
SharedFileList
Dostupno za: macOS Ventura
Učinak: napadač bi mogao ostvariti pristup zaštićenim dijelovima datotečnog sustava
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2024-54557: anonimni istraživač
Unos je dodan 27. siječnja 2025.
SharedFileList
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2024-54528: anonimni istraživač
SharedFileList
Dostupno za: macOS Ventura
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-54498: anonimni istraživač
Software Update
Dostupno za: macOS Ventura
Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.
CVE-2024-44291: Arsenii Kostromin (0x3c3e)
StorageKit
Dostupno za: macOS Ventura
Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2024-44224: Amy (@asentientbot)
System Settings
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-54520: Rodolphe BRUNETTI (@eisw0lf)
Unos je dodan 27. siječnja 2025.
System Settings
Dostupno za: macOS Ventura
Učinak: aplikacija može odrediti korisnikovu trenutnu lokaciju
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-54475: Kirin (@Pwnrin)
Unos je dodan 27. siječnja 2025.
Vim
Dostupno za: macOS Ventura
Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2024-45306
Unos je dodan 27. siječnja 2025.
WindowServer
Dostupno za: macOS Ventura
Učinak: aplikacije su mogle snimati događaje na tipkovnici putem zaključanog zaslona
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-54539: Halle Winkler, Politepix theoffcuts.org i Trent @lathiat Lloyd
Unos je dodan 27. siječnja 2025.
Dodatna zahvala
CUPS
Na pomoći zahvaljujemo korisniku evilsocketu.
Proximity
Na pomoći zahvaljujemo Junmingu C. (@Chapoly1305) i prof. Qiang Zengu (George Mason University).
Sandbox
Na pomoći zahvaljujemo korisniku IES Red Team (ByteDance).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.