A macOS Ventura 13.6.8 biztonsági változásjegyzéke

Ez a dokumentum a macOS Ventura 13.6.8 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Ventura 13.6.8

Kiadási dátum: 2024. július 29.

APFS

A következőhöz érhető el: macOS Ventura.

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az adatvédelmi beállításokat.

Leírás: Az adattárolókhoz való hozzáférés hatékonyabb korlátozásával orvosoltuk a problémát.

CVE-2024-40783: Fitzl Csaba (@theevilbit, Kandji)

Apple Neural Engine

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-27826: Minghao Lin és Ye Zhang (@VAR10CK, Baidu Security)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: További kódaláírási korlátozásokkal elhárítottunk egy alacsonyabb szintre váltással kapcsolatos hibát.

CVE-2024-40774: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói információkat kiszivárogtatni

Leírás: További kódaláírási korlátozásokkal elhárítottunk egy alacsonyabb szintre váltással kapcsolatos hibát.

CVE-2024-40775: Mickey Jin (@patch1t)

AppleVA

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-27877: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CoreGraphics

A következőhöz érhető el: macOS Ventura.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-40799: D4m0n

CoreMedia

A következőhöz érhető el: macOS Ventura.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2024-27873: Amir Bazine és Karsten König (CrowdStrike Counter Adversary Operations)

curl

A következőhöz érhető el: macOS Ventura.

Érintett terület: Több hiba is fennállt a curl esetén.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-2004

CVE-2024-2379

CVE-2024-2398

CVE-2024-2466

DesktopServices

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak tetszőleges fájlokat felülírni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40827: anonim kutató

dyld

A következőhöz érhető el: macOS Ventura.

Érintett terület: A rosszindulatú támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-40815: w0wbox

ImageIO

A következőhöz érhető el: macOS Ventura.

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2023-6277

CVE-2023-52356

ImageIO

A következőhöz érhető el: macOS Ventura.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-40806: Yisumi

ImageIO

A következőhöz érhető el: macOS Ventura.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2024-40784: Junsung Lee (Trend Micro Zero Day Initiative) és Gandalf4a

Kernel

A következőhöz érhető el: macOS Ventura.

Érintett terület: A helyi támadók váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-40816: sqrtpwn

Kernel

A következőhöz érhető el: macOS Ventura.

Érintett terület: A helyi támadók váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2024-40788: Minghao Lin és Jiaxun Zhu (Zhejiang University)

Keychain Access

A következőhöz érhető el: macOS Ventura.

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2024-40803: Patrick Wardle (DoubleYou & the Objective-See Foundation)

NetworkExtension

A következőhöz érhető el: macOS Ventura.

Érintett terület: Privát böngészés esetén néhány böngészési előzmény kiszivároghatott.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2024-40796: Adam M.

OpenSSH

A következőhöz érhető el: macOS Ventura.

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-6387

PackageKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40781: Mickey Jin (@patch1t)

CVE-2024-40802: Mickey Jin (@patch1t)

PackageKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40823: Zhongquan Li (@Guluisacat, Dawn Security Lab, JingDong)

PackageKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-27882: Mickey Jin (@patch1t)

CVE-2024-27883: Csaba Fitzl (@theevilbit, Kandji) és Mickey Jin (@patch1t)

Restore Framework

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2024-40800: Claudio Bozzato és Francesco Benvenuto (Cisco Talos).

Safari

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez

Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.

CVE-2024-40817: Yadhu Krishna M és Narendra Bhati (a Cyber Security vezetője, Suma Soft Pvt. Ltd., Púna, India)

Scripting Bridge

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2024-27881: Kirin (@Pwnrin)

Security

A következőhöz érhető el: macOS Ventura.

Érintett terület: Előfordult, hogy a külső fejlesztésű alkalmazásbővítmények nem kapták meg a megfelelő sandbox-korlátozásokat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2024-40821: Joshua Jones

Security

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egy alkalmazás képes volt kiolvasni a Safari böngészési előzményeit.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-40798: Adam M.

Shortcuts

A következőhöz érhető el: macOS Ventura.

Érintett terület: Bizonyos esetekben a parancsok bizonyos műveletek során bizalmas adatokat tudtak felhasználni anélkül, hogy erről megkérdezték volna a felhasználót

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-40833: anonim kutató

CVE-2024-40807: anonim kutató

CVE-2024-40835: anonim kutató

Shortcuts

A következőhöz érhető el: macOS Ventura.

Érintett terület: A parancsok meg tudták kerülni a Parancsok alkalmazás érzékeny beállításait.

Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.

CVE-2024-40834: Marcio Almeida (Tanto Security)

Shortcuts

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egy billentyűparanccsal megkerülhetők voltak az internetes engedélyezési követelmények.

Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.

CVE-2024-40787: anonim kutató

Shortcuts

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egy billentyűparanccsal megkerülhetők voltak az internetes engedélyezési követelmények.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-40809: anonim kutató

CVE-2024-40812: anonim kutató

Siri

A következőhöz érhető el: macOS Ventura.

Érintett terület: Siri segítségével a fizikai hozzáféréssel rendelkező támadók hozzá tudtak férni bizalmas felhasználói adatokhoz.

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2024-40818: Bistrit Dahal és Srijan Poudel

Siri

A következőhöz érhető el: macOS Ventura.

Érintett terület: A támadók bizonyos esetben hozzá tudtak férni a bizalmas jellegű felhasználói információkhoz.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-40786: Bistrit Dahal

Siri

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az elszigetelten futtatott alkalmazások bizonyos esetekben hozzáférhetnek a rendszernaplókban található bizalmas felhasználói adatokhoz.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2024-44205: Jiahui Hu (梅零落) és Meng Zhang (鲸落, NorthSea)

Bejegyzés hozzáadva: 2024. október 15.

StorageKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40828: Mickey Jin (@patch1t)

Time Zone

A következőhöz érhető el: macOS Ventura.

Érintett terület: A támadók bizonyos esetekben olvasni tudták más felhasználók adatait.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2024-23261: Matthew Loewen

VoiceOver

A következőhöz érhető el: macOS Ventura.

Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopál, India)

További köszönetnyilvánítás

Image Capture

Köszönjük egy anonim kutató segítségét.

Shortcuts

Köszönjük egy anonim kutató segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: