A macOS Ventura 13.7.3 biztonsági változásjegyzéke
Ez a dokumentum a macOS Ventura 13.7.3 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Ventura 13.7.3
Kiadási dátum: 2025. január 27.
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: További kódaláírási korlátozásokkal elhárítottunk egy alacsonyabb szintre váltással kapcsolatos hibát.
CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások bizonyos esetben hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2025-24100: Kirin (@Pwnrin)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2025-24114: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2025-24121: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Az Intel-alapú Mac számítógépeket érintő leminősítési probléma további kódaláírási korlátozásokkal lett kezelve.
CVE-2025-24122: Mickey Jin (@patch1t)
ARKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu, és Xingwei Lin, Zhejiang University
Audio
A következőhöz érhető el: macOS Ventura.
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24106: Wang Yu, Cyberserval
Contacts
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a kontaktokhoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2024-44172: Kirin (@Pwnrin)
CoreMedia
A következőhöz érhető el: macOS Ventura.
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24123: Desmond, a Trend Micro Zero Day Initiative közreműködőjeként
CVE-2025-24124: Pwn2car és Rotiple (HyeongSeok Jang), a Trend Micro Zero Day Initiative közreműködőjeként
CoreRoutine
A következőhöz érhető el: macOS Ventura.
Érintett terület: Bizonyos alkalmazások meg tudták határozni a felhasználók aktuális tartózkodási helyét
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24102: Kirin (@Pwnrin)
iCloud Photo Library
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones
ImageIO
A következőhöz érhető el: macOS Ventura.
Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-24086: DongJun Kim (@smlijun) és JongSeong Kim (@nevul37), Enki WhiteHat, D4m0n
LaunchServices
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2025-24094: anonim kutató
LaunchServices
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások adott esetben képesek voltak fájlokat olvasni a tesztkörnyezeten kívül
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2025-24115: anonim kutató
LaunchServices
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.
CVE-2025-24116: anonim kutató
Login Window
A következőhöz érhető el: macOS Ventura.
Érintett terület: Rosszindulatú alkalmazások bizonyos esetekben szimbolikus hivatkozásokat tudtak létrehozni a lemez védett régióihoz
Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2025-24136: 云散
PackageKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24099: Mickey Jin (@patch1t)
Bejegyzés hozzáadva: 2025. január 29.
PackageKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)
Photos Storage
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordulhatott, hogy egy beszélgetés törlése az Üzenetekben elérhetővé tette a felhasználói kontaktadatokat a rendszernaplókban
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2025-24146: 神罚(@Pwnrin)
QuartzCore
A következőhöz érhető el: macOS Ventura.
Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54497: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként
Sandbox
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások képesek voltak hozzáférni az eltávolítható kötetekhez felhasználói engedély nélkül
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)
SceneKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2025-24149: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative
Security
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2025-24103: Zhongquan Li (@Guluisacat)
sips
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24139: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative
SMB
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-24151: anonim kutató
Spotlight
A következőhöz érhető el: macOS Ventura.
Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf), Lupus Nova
StorageKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.
Leírás: Hatékonyabb érvényesség-ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2025-24176: Yann GASCUEL, Alter Solutions
WebContentFilter
A következőhöz érhető el: macOS Ventura.
Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2025-24154: anonim kutató
WindowServer
A következőhöz érhető el: macOS Ventura.
Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni
Leírás: A probléma az objektumok élettartamának hatékonyabb kezelésével hárult el.
CVE-2025-24120: PixiePoint Security
Xsan
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.
CVE-2025-24156: anonim kutató
További köszönetnyilvánítás
sips
Köszönjük Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative) segítségét.
Static Linker
Köszönjük Holger Fuhrmannek segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.