A macOS Ventura 13.7.2
Ez a dokumentum a macOS Ventura 13.7.2 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Ventura 13.7.2
Kiadási dátum: 2024. december 11.
Accounts
A következőhöz érhető el: macOS Ventura.
Érintett terület: A Rejtett album fotóit hitelesítés nélkül is meg lehetett tekinteni a Fotókban.
Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.
CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang (ZUSO ART) és taikosoup
Bejegyzés hozzáadva: 2025. január 27.
APFS
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) és egy anonim kutató
Bejegyzés hozzáadva: 2025. január 27.
Apple Software Restore
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54477: Mickey Jin (@patch1t), Csaba Fitzl Csaba (@theevilbit), Kandji
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2024-54527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)
Audio
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-54529: Dillon Franke a Google Project Zero keretében
Crash Reporter
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.
CVE-2024-44300: anonim kutató
DiskArbitration
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egy titkosított kötetet egy másik felhasználó is elérhetett, anélkül, hogy meg kellett volna adnia a jelszót.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2024-54466: Michael Cohen
Disk Utility
A következőhöz érhető el: macOS Ventura.
Érintett terület: A csatlakoztatási parancs futtatása bizonyos esetekben váratlan kódvégrehajtáshoz vezetett.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2024-54489: D’Angelo Gonzalez (CrowdStrike)
Dock
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54547: Rodolphe BRUNETTI (@eisw0lf, Lupus Nova)
Bejegyzés hozzáadva: 2025. január 27.
FontParser
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54486: Hossein Lotfi (@hosselot,Trend Micro Zero Day Initiative)
ImageIO
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54500: Junsung Lee (a Trend Micro Zero Day Initiative közreműködőjeként)
Kernel
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54468: anonim kutató
Bejegyzés hozzáadva: 2025. január 27.
Kernel
A következőhöz érhető el: macOS Ventura.
Érintett terület: A támadók bizonyos esetekben olyan csak olvasható memórialeképezést tudtak létrehozni, amelybe lehetett írni.
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-54494: sohybbyk
Kernel
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni
Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-54510: Joseph Ravichandran (@0xjprx, MIT CSAIL)
libarchive
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadáshoz vezethet.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-44201: Ben Roeder
libexpat
A következőhöz érhető el: macOS Ventura.
Érintett terület: A távoli támadók bizonyos esetekben váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges kódot tudtak futtatni.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-45490
libxpc
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54514: anonim kutató
libxpc
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-44225: 风沐云烟 (@binary_fmyy)
PackageKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54474: Mickey Jin (@patch1t)
CVE-2024-54476: Mickey Jin (@patch1t), Bohdan Stasiuk (@Bohdan_Stasiuk)
QuickTime Player
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások bizonyos esetekben a sandboxukon kívüli fájlokat is tudták olvasni és írni.
Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.
CVE-2024-54537: Mickey Jin (@patch1t)
Bejegyzés hozzáadva: 2025. január 27.
SceneKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadást idézhetett elő.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54501: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
Screen Sharing Server
A következőhöz érhető el: macOS Ventura.
Érintett terület: A kijelzőmegosztási hozzáféréssel rendelkező felhasználók meg tudták tekinteni egy másik felhasználó képernyőjét.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-44248: Halle Winkler, Politepix (theoffcuts.org)
SharedFileList
A következőhöz érhető el: macOS Ventura.
Érintett terület: A támadók hozzáférést szerezhettek a fájlrendszer védett részeihez.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2024-54557: anonim kutató
Bejegyzés hozzáadva: 2025. január 27.
SharedFileList
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak tetszőleges fájlokat felülírni.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2024-54528: anonim kutató
SharedFileList
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2024-54498: anonim kutató
Software Update
A következőhöz érhető el: macOS Ventura.
Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.
CVE-2024-44291: Arsenii Kostromin (0x3c3e)
StorageKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-44224: Amy (@asentientbot)
System Settings
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak tetszőleges fájlokat felülírni.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2024-54520: Rodolphe BRUNETTI (@eisw0lf)
Bejegyzés hozzáadva: 2025. január 27.
System Settings
A következőhöz érhető el: macOS Ventura.
Érintett terület: Bizonyos alkalmazások meg tudták határozni a felhasználók aktuális tartózkodási helyét
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2024-54475: Kirin (@Pwnrin)
Bejegyzés hozzáadva: 2025. január 27.
Vim
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor sérült a halommemória.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-45306
Bejegyzés hozzáadva: 2025. január 27.
WindowServer
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások bizonyos esetekben még a zárolási képernyőn is tudták rögzíteni a billentyűzeteseményeket.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-54539: Halle Winkler, Politepix theoffcuts.org és Trent @lathiat Lloyd
Bejegyzés hozzáadva: 2025. január 27.
További köszönetnyilvánítás
CUPS
Köszönjük evilsocket segítségét.
Proximity
Köszönjük Junming C. (@Chapoly1305) és Prof. Qiang Zeng (George Mason University) segítségét.
Sandbox
Köszönjük IES Red Team (ByteDance) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.