A macOS Ventura 13.7 biztonsági változásjegyzéke
Ez a dokumentum a macOS Ventura 13.7 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Ventura 13.7
Kiadási dátum: 2024. szeptember 16.
Accounts
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói információkat kiszivárogtatni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-44129
App Intents
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások bizonyos esetekben hozzá tudtak férni a naplózott érzékeny adatokhoz, amikor egy parancs nem tudott elindítani egy másik alkalmazást.
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2024-44182: Kirin (@Pwnrin)
AppKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordulhatott, hogy egy magasabb szintű jogosultságokkal nem rendelkező alkalmazás rögzíteni tudta a billentyűleütéseket más alkalmazásokban, köztük a biztonságos beviteli módot használókban is.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2024-27886: Stephan Casas, egy névtelen kutató
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: További kódaláírási korlátozásokkal elhárítottunk a hibát.
CVE-2024-40847: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: További kódaláírási korlátozásokkal elhárítottunk egy alacsonyabb szintre váltással kapcsolatos hibát.
CVE-2024-40814: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2024-44164: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: További korlátozásokkal elhárítottunk egy könyvtárinjektálással kapcsolatos hibát.
CVE-2024-44168: Claudio Bozzato és Francesco Benvenuto (Cisco Talos)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: A támadók bizalmas információkat tudtak olvasni.
Leírás: További kódaláírási korlátozásokkal elhárítottunk egy alacsonyabb szintre váltással kapcsolatos hibát.
CVE-2024-40848: Mickey Jin (@patch1t)
Automator
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az Automator gyorsműveleti munkafolyamata bizonyos esetekben meg tudta kerülni a Gatekeepert.
Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.
CVE-2024-44128: Anton Boegler
bless
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-44151: Mickey Jin (@patch1t)
Compression
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott archívumok kicsomagolása tetszőleges fájlok írását tehette lehetővé támadók számára.
Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Dock
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.
CVE-2024-44177: egy névtelen kutató
Game Center
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy fájleléréssel kapcsolatos hibát.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
A következőhöz érhető el: macOS Ventura.
Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2024-44176: dw0r (ZeroPointer Lab) a Trend Micro Zero Day Initiative kezdeményezés keretében, valamint egy anonim kutató
Intel Graphics Driver
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott textúrák feldolgozása váratlan alkalmazásleállást okozott.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2024-44160: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
Intel Graphics Driver
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott textúrák feldolgozása váratlan alkalmazásleállást okozott.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2024-44161: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
IOSurfaceAccelerator
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-44169: Antonio Zekić
Kernel
A következőhöz érhető el: macOS Ventura.
Érintett terület: Bizonyos esetekben a hálózati forgalom kiszivároghatott a VPN-alagúton kívülre.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-44165: Andrew Lytvynov
Mail Accounts
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások bizonyos esetben hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)
Maps
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével hárítottunk el egy problémát.
CVE-2024-44181: Kirin (@Pwnrin) és LFY (@secsys), Fudan University
mDNSResponder
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.
CVE-2024-44183: Olivier Levon
Notes
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak tetszőleges fájlokat felülírni.
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2024-44167: ajajfxhj
PackageKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2024-44178: Mickey Jin (@patch1t)
Safari
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-40797: Rifa'i Rejal Maynando
Sandbox
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-44163: Zhongquan Li (@Guluisacat)
Shortcuts
A következőhöz érhető el: macOS Ventura.
Érintett terület: Bizonyos esetekben a parancsok bizalmas adatokat jelenítettek meg a felhasználó hozzájárulása nélkül.
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2024-44158: Kirin (@Pwnrin)
Shortcuts
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egy alkalmazás bizonyos esetekben meg tudta figyelni a felhasználó számára a Parancsok által megjelenített adatokat.
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2024-40844: Kirin (@Pwnrin) és luckyu (@uuulucky, NorthSea)
System Settings
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2024-44166: Kirin (@Pwnrin) és LFY (@secsys), Fudan University
System Settings
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)
Transparency
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)
További köszönetnyilvánítás
Airport
Szeretnénk megköszönni David Dudok de Wit segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.