Mengenai konten keamanan macOS Ventura 13.7

Dokumen ini menjelaskan konten keamanan macOS Ventura 13.7.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Ventura 13.7

Accounts

Tersedia untuk: macOS Ventura

Dampak: App dapat membocorkan informasi rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44129

App Intents

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengakses data rahasia yang dicatat saat pintasan gagal membuka app lain

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan.

CVE-2024-44182: Kirin (@Pwnrin)

AppKit

Tersedia untuk: macOS Ventura

Dampak: Aplikasi yang tidak memiliki hak istimewa mungkin dapat mencatat penekanan tombol di aplikasi lain, termasuk aplikasi yang menggunakan mode input aman

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2024-27886: Stephan Casas, peneliti anonim

AppleMobileFileIntegrity

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan tambahan pembatasan penandatanganan kode.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat melewatkan preferensi Privasi

Deskripsi: Masalah penurunan telah diatasi dengan tambahan pembatasan penandatanganan kode.

CVE-2024-40814: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat melewatkan preferensi Privasi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah injeksi perpustakaan telah diatasi dengan pembatasan tambahan.

CVE-2024-44168: Claudio Bozzato dan Francesco Benvenuto dari Cisco Talos

AppleMobileFileIntegrity

Tersedia untuk: macOS Ventura

Dampak: Penyerang mungkin dapat membaca informasi sensitif

Deskripsi: Masalah penurunan telah diatasi dengan tambahan pembatasan penandatanganan kode.

CVE-2024-40848: Mickey Jin (@patch1t)

Automator

Tersedia untuk: macOS Ventura

Dampak: Alur kerja Tindakan Cepat Automator mungkin dapat melewati Gatekeeper

Deskripsi: Masalah ini telah diatasi dengan menambahkan permintaan tambahan untuk izin pengguna.

CVE-2024-44128: Anton Boegler

bless

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Tersedia untuk: macOS Ventura

Dampak: Membongkar arsip perusak yang berbahaya dapat memungkinkan penyerang menulis file arbitrer

Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Dock

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengakses data rahasia pengguna

Dampak: Masalah privasi telah diatasi dengan menghapus data sensitif.

CVE-2024-44177: peneliti anonim

Game Center

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah akses file telah diatasi dengan validasi input yang ditingkatkan.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Tersedia untuk: macOS Ventura

Dampak: Pemrosesan gambar mungkin mengakibatkan penolakan layanan

Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-44176: dw0r dari ZeroPointer Lab yang bekerja sama dengan Zero Day Initiative dari Trend Micro, peneliti anonim

Intel Graphics Driver

Tersedia untuk: macOS Ventura

Dampak: Memproses tekstur perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-44160: Michael DePlante (@izobashi) dari Zero Day Initiative dari Trend Micro

Intel Graphics Driver

Tersedia untuk: macOS Ventura

Dampak: Memproses tekstur perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-44161: Michael DePlante (@izobashi) dari Zero Day Initiative dari Trend Micro

IOSurfaceAccelerator

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat menyebabkan sistem berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-44169: Antonio Zekić

Kernel

Tersedia untuk: macOS Ventura

Dampak: Trafik jaringan mungkin bocor ke luar saluran VPN

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44165: Andrew Lytvynov

Mail Accounts

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengakses informasi tentang kontak pengguna

Deskripsi: Masalah privasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah telah diatasi dengan penanganan file sementara yang ditingkatkan.

CVE-2024-44181: Kirin(@Pwnrin) dan LFY(@secsys) dari Fudan University

mDNSResponder

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat menyebabkan penolakan layanan

Deskripsi: Kesalahan logika telah diatasi dengan penanganan kesalahan yang lebih baik.

CVE-2024-44183: Olivier Levon

Notes

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat menimpa file arbitrer

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2024-44167: ajajfxhj

PackageKit

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.

CVE-2024-44178: Mickey Jin (@patch1t)

Safari

Tersedia untuk: macOS Ventura

Dampak: Mengunjungi situs web perusak dapat mengakibatkan pemalsuan antarmuka pengguna

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2024-40797: Rifa'i Rejal Maynando

Sandbox

Tersedia untuk: macOS Ventura

Dampak: Aplikasi berbahaya mungkin dapat mengakses informasi pribadi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Shortcuts

Tersedia untuk: macOS Ventura

Dampak: Pintasan mungkin memberikan output data rahasia pengguna tanpa izin

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengamati data yang ditampilkan kepada pengguna melalui Pintasan

Deskripsi: Masalah privasi telah diatasi dengan penanganan file sementara yang ditingkatkan.

CVE-2024-40844: Kirin (@Pwnrin) dan luckyu (@uuulucky) dari NorthSea

System Settings

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah privasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-44166: Kirin (@Pwnrin) dan LFY (@secsys) dari Fudan University

System Settings

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat membaca file arbitrer

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

Transparency

Tersedia untuk: macOS Ventura

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

Ucapan terima kasih tambahan

Airport

Kami ingin mengucapkan terima kasih kepada David Dudok de Wit atas bantuannya.