Mengenai konten keamanan dari macOS Ventura 13.6.5

Dokumen ini menjelaskan konten keamanan macOS Ventura 13.6.5.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Ventura 13.6.5

Admin Framework

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-23276: Kirin (@Pwnrin)

AirPort

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.

CVE-2024-23227: Brian McNulty

AppleMobileFileIntegrity

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah penurunan yang memengaruhi komputer Mac berbasis Intel telah diatasi dengan tambahan pembatasan penandatanganan kode.

CVE-2024-23269: Mickey Jin (@patch1t)

ColorSync

Tersedia untuk: macOS Ventura

Dampak: Memproses file dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-23247: m4yfly dengan TianGong Team dari Legendsec di Qi'anxin Group

CoreCrypto

Tersedia untuk: macOS Ventura

Dampak: Penyerang mungkin dapat mendekripsi ciphertext RSA PKCS#1 v1.5 lama tanpa harus memiliki kunci rahasia

Deskripsi: Masalah saluran sisi waktu telah diatasi dengan peningkatan komputasi waktu konstan dalam fungsi kriptografis.

CVE-2024-23218: Clemens Lang

Gambar Disk

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat keluar dari sandbox

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-23299: peneliti anonim

Find My

Tersedia untuk: macOS Ventura

Dampak: Aplikasi berbahaya mungkin dapat mengakses data Find My

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan.

CVE-2024-23229: Joshua Jewett (@JoshJewett33)

Image Processing

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-23270: peneliti anonim

ImageIO

Tersedia untuk: macOS Ventura

Dampak: Pemrosesan gambar dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-23286: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro, Amir Bazine dan Karsten König dari CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun), serta Lyutoon dan Mr.R

ImageIO

Tersedia untuk: macOS Ventura

Dampak: Pemrosesan gambar dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-23257: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Intel Graphics Driver

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.

CVE-2024-23234: Murray Mike

Kerberos v5 PAM module

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)

Kernel

Tersedia untuk: macOS Ventura

Dampak: App dapat mengakibatkan sistem terhenti tiba-tiba atau menulis memori kernel

Deskripsi: Kerentanan kerusakan memori telah diatasi melalui penguncian yang ditingkatkan.

CVE-2024-23265: Xinru Chi dari Pangu Lab

Kernel

Tersedia untuk: macOS Ventura

Dampak: Penyerang dengan kemampuan membaca dan menulis kernel arbitrer mungkin dapat melewati perlindungan memori kernel. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi.

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.

CVE-2024-23225

libxpc

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2024-23201: Koh M. Nakagawa dari FFRI Security, Inc., peneliti anonim

libxpc

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat keluar dari sandbox

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-23278: peneliti anonim

MediaRemote

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.

CVE-2023-28826: Meng Zhang (鲸落) dari NorthSea

Metal

Tersedia untuk: macOS Ventura

Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2024-23264: Meysam Firouzi @R00tkitsmm yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Notes

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah privasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-23283

PackageKit

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah injeksi telah diatasi dengan validasi input yang ditingkatkan.

CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)

CVE-2024-23268: Mickey Jin (@patch1t) dan Pedro Tôrres (@t0rr3sp3dr0)

PackageKit

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengakses data pengguna yang dilindungi

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2024-23275: Mickey Jin (@patch1t)

PackageKit

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat melewatkan preferensi Privasi tertentu

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-23267: Mickey Jin (@patch1t)

PackageKit

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat menimpa file arbitrer

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)

Share Sheet

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah privasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-23231: Kirin (@Pwnrin) dan luckyu (@uuulucky)

SharedFileList

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penanganan file yang ditingkatkan.

CVE-2024-23230: Mickey Jin (@patch1t)

Shortcuts

Tersedia untuk: macOS Ventura

Dampak: Pintasan mungkin dapat menggunakan data sensitif dengan tindakan tertentu tanpa meminta izin pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin tambahan.

CVE-2024-23203: peneliti anonim

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

Tersedia untuk: macOS Ventura

Dampak: Pintasan pihak ketiga mungkin menggunakan tindakan lama dari Automator untuk mengirim peristiwa ke app tanpa persetujuan pengguna

Deskripsi: Masalah ini telah diatasi dengan menambahkan permintaan tambahan untuk izin pengguna.

CVE-2024-23245: peneliti anonim

Shortcuts

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat melewatkan preferensi Privasi tertentu

Deskripsi: Masalah privasi telah diatasi dengan penanganan file sementara yang ditingkatkan.

CVE-2024-23217: Kirin (@Pwnrin)

Storage Services

Tersedia untuk: macOS Ventura

Dampak: Penyerang mungkin dapat mengakses bagian sistem file yang dilindungi

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-23272: Mickey Jin (@patch1t)

Transparency

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan peningkatan pembatasan akses ke kontainer data.

CVE-2023-40389: Csaba Fitzl (@theevilbit) dari Offensive Security dan Joshua Jewett (@JoshJewett33)