Mengenai konten keamanan macOS Ventura 13.6.7
Dokumen ini menjelaskan konten keamanan macOS Ventura 13.6.7.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
macOS Ventura 13.6.7
Dirilis pada 13 Mei 2024
Core Data
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan validasi variabel lingkungan yang ditingkatkan.
CVE-2024-27805: Kirin (@Pwnrin) dan 小来来 (@Smi1eSEC)
Entri ditambahkan pada 10 Juni 2024
CoreMedia
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-27817: pattern-f (@pattern_F_) of Ant Security Light-Year Lab
Entri ditambahkan pada 10 Juni 2024
CoreMedia
Tersedia untuk: macOS Ventura
Dampak: Memproses file dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.
CVE-2024-27831: Amir Bazine dan Karsten König dari CrowdStrike Counter Adversary Operations
Entri ditambahkan pada 10 Juni 2024
Finder
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat membaca file arbitrer
Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.
CVE-2024-27827: peneliti anonim
Entri ditambahkan pada 10 Juni 2024
Foundation
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
Tersedia untuk: macOS Ventura
Dampak: Aplikasi yang tidak memiliki hak istimewa mungkin dapat mencatat penekanan tombol di aplikasi lain, termasuk aplikasi yang menggunakan mode input aman
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan hak tambahan.
CVE-2024-27799: peneliti anonim
Entri ditambahkan pada 10 Juni 2024
Kernel
Tersedia untuk: macOS Ventura
Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati perlindungan memori kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2024-27840: peneliti anonim
Entri ditambahkan pada 10 Juni 2024
Kernel
Tersedia untuk: macOS Ventura
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat memalsukan paket jaringan
Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.
CVE-2024-27823: Prof. Benny Pinkas dari Bar-Ilan University, Prof. Amit Klein dari Hebrew University, dan EP
Entri ditambahkan pada 29 Juli 2024
Login Window
Tersedia untuk: macOS Ventura
Dampak: Penyerang yang mengetahui kredensial pengguna standar dapat membuka layar terkunci dari pengguna standar lain pada Mac yang sama
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-42861: peneliti anonim, 凯 王, Steven Maser, Matthew McLean, Brandon Chesser, CPU IT, inc, dan Tim TI Avalon dari Concentrix
Maps
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.
CVE-2024-27810: LFY@secsys dari Fudan University
Entri ditambahkan pada 10 Juni 2024
Messages
Tersedia untuk: macOS Ventura
Dampak: Memproses pesan perusak yang berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2024-27800: Daniel Zajork dan Joshua Zajork
Entri ditambahkan pada 10 Juni 2024
Metal
Tersedia untuk: macOS Ventura
Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Entri ditambahkan pada 10 Juni 2024
PackageKit
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2024-27885: Mickey Jin (@patch1t)
Entri ditambahkan pada 10 Juni 2024
PackageKit
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)
Entri ditambahkan pada 10 Juni 2024
RTKit
Tersedia untuk: macOS Ventura
Dampak: Penyerang dengan kemampuan baca dan tulis kernel arbitrer mungkin dapat melewatkan perlindungan memori kernel. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi.
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2024-23296
SharedFileList
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-27843: Mickey Jin (@patch1t)
Entri ditambahkan pada 10 Juni 2024
Shortcuts
Tersedia untuk: macOS Ventura
Dampak: Pintasan mungkin dapat menggunakan data sensitif dengan tindakan tertentu tanpa meminta izin pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-27855: peneliti anonim
Entri ditambahkan pada 10 Juni 2024
Spotlight
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan sanitasi lingkungan yang ditingkatkan.
CVE-2024-27806
Entri ditambahkan pada 10 Juni 2024
StorageKit
Tersedia untuk: macOS Ventura
Dampak: Pengguna mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2024-27798: Yann GASCUEL dari Alter Solutions
Entri ditambahkan pada 10 Juni 2024
Sync Services
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan
CVE-2024-27847: Mickey Jin (@patch1t)
Entri ditambahkan pada 10 Juni 2024
Voice Control
Tersedia untuk: macOS Ventura
Dampak: Pengguna mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-27796: ajajfxhj
Entri ditambahkan pada 10 Juni 2024
Ucapan terima kasih tambahan
App Store
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.