A macOS Ventura 13.6.7 biztonsági változásjegyzéke

Ez a dokumentum a macOS Ventura 13.6.7 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Ventura 13.6.7

Kiadás dátuma: 2024. május 13.

Core Data

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A környezeti változók validálásának továbbfejlesztésével megoldottuk a problémát.

CVE-2024-27805: Kirin (@Pwnrin) és 小来来 (@Smi1eSEC)

Bejegyzés hozzáadva: 2024. június 10.

CoreMedia

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)

Bejegyzés hozzáadva: 2024. június 10.

CoreMedia

A következőhöz érhető el: macOS Ventura.

Érintett terület: A fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2024-27831: Amir Bazine és Karsten König (CrowdStrike Counter Adversary Operations)

Bejegyzés hozzáadva: 2024. június 10.

Finder

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-27827: anonim kutató

Bejegyzés hozzáadva: 2024. június 10.

Foundation

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-27789: Mickey Jin (@patch1t)

IOHIDFamily

A következőhöz érhető el: macOS Ventura.

Érintett terület: Előfordulhatott, hogy egy magasabb szintű jogosultságokkal nem rendelkező alkalmazás rögzíteni tudta a billentyűleütéseket más alkalmazásokban, köztük a biztonságos beviteli módot használókban is.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-27799: anonim kutató

Bejegyzés hozzáadva: 2024. június 10.

Kernel

A következőhöz érhető el: macOS Ventura.

Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória védelmi funkcióit.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-27840: anonim kutató

Bejegyzés hozzáadva: 2024. június 10.

Kernel

A következőhöz érhető el: macOS Ventura.

Érintett terület: A magas hálózati jogosultságú támadók meg tudták hamisítani a hálózati csomagokat.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-27823: Prof. Benny Pinkas (Bar-Ilan University), Prof. Amit Klein (Hebrew University) és EP

Bejegyzés hozzáadva: 2024. július 29.

Login Window

A következőhöz érhető el: macOS Ventura.

Érintett terület: Ha egy támadó rendelkezett egy normál felhasználó hitelesítő adataival, ugyanazon a Macen feloldhatta egy másik felhasználó zárolt képernyőjének a zárolását.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2023-42861: egy anonim kutató, 凯 王, Steven Maser, Matthew McLean, Brandon Chesser, a CPU IT, inc, és az Avalon IT Team (Concentrix)

Maps

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2024-27810: LFY@secsys (Fudan University)

Bejegyzés hozzáadva: 2024. június 10.

Messages

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egy rosszindulatú célból létrehozott feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2024-27800: Daniel Zajork és Joshua Zajork

Bejegyzés hozzáadva: 2024. június 10.

Metal

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm, a Trend Micro Zero Day Initiative közreműködőjeként)

Bejegyzés hozzáadva: 2024. június 10.

PackageKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2024-27885: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2024. június 10.

PackageKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)

Bejegyzés hozzáadva: 2024. június 10.

RTKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: A kernelolvasási és -írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a kernel memóriavédelmét. Az Apple tud egy olyan jelentésről, amely szerint előfordulhat, hogy ezt a problémát kihasználták.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2024-23296

SharedFileList

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-27843: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2024. június 10.

Shortcuts

A következőhöz érhető el: macOS Ventura.

Érintett terület: Bizonyos esetekben a parancsok bizonyos műveletek során bizalmas adatokat tudtak felhasználni anélkül, hogy erről megkérdezték volna a felhasználót.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-27855: anonim kutató

Bejegyzés hozzáadva: 2024. június 10.

Spotlight

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.

CVE-2024-27806

Bejegyzés hozzáadva: 2024. június 10.

StorageKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2024-27798: Yann GASCUEL (Alter Solutions)

Bejegyzés hozzáadva: 2024. június 10.

Sync Services

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát

CVE-2024-27847: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2024. június 10.

Voice Control

A következőhöz érhető el: macOS Ventura.

Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-27796: ajajfxhj

Bejegyzés hozzáadva: 2024. június 10.

További köszönetnyilvánítás

App Store

Köszönjük egy anonim kutató segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: