Mengenai konten keamanan macOS Ventura 13.7.1
Dokumen ini menjelaskan konten keamanan macOS Ventura 13.7.1.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple
Mengenai konten keamanan macOS Ventura 13.7.1
Dirilis pada 28 Oktober 2024
App Support
Tersedia untuk: macOS Ventura
Dampak: App yang berbahaya mungkin dapat menjalankan pintasan arbitrer tanpa persetujuan pengguna
Deskripsi: Masalah penanganan jalur telah diatasi melalui logika yang ditingkatkan.
CVE-2024-44255: peneliti anonim
AppleAVD
Tersedia untuk: macOS Ventura
Dampak: Menguraikan file video perusak yang berbahaya dapat mengakibatkan sistem berhenti tiba-tiba
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2024-44232: Ivan Fratric dari Google Project Zero
CVE-2024-44233: Ivan Fratric dari Google Project Zero
CVE-2024-44234: Ivan Fratric dari Google Project Zero
Entri ditambahkan pada 1 November 2024
AppleMobileFileIntegrity
Tersedia untuk: macOS Ventura
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2024-44270: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah penurunan yang memengaruhi komputer Mac berbasis Intel telah diatasi dengan tambahan pembatasan penandatanganan kode.
CVE-2024-44280: Mickey Jin (@patch1t)
ARKit
Tersedia untuk: macOS Ventura
Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan semakin banyaknya kerusakan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-44126: Holger Fuhrmannek
Assets
Tersedia untuk: macOS Ventura
Dampak: App berbahaya yang memiliki hak akses root mungkin dapat mengubah konten file sistem
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2024-44260: Mickey Jin (@patch1t)
CoreServicesUIAgent
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan hak tambahan.
CVE-2024-44295: peneliti anonim
CoreText
Tersedia untuk: macOS Ventura
Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-44240: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro
CVE-2024-44302: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro
CUPS
Tersedia untuk: macOS Ventura
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna
Deskripsi: Masalah muncul saat menguraikan URL. Masalah ini telah diatasi dengan validasi yang ditingkatkan.
CVE-2024-44213: Alexandre Bedard
DiskArbitration
Tersedia untuk: macOS Ventura
Dampak: App di dalam sandbox mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-40855: Csaba Fitzl (@theevilbit) dari Kandji
Find My
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.
CVE-2024-44289: Kirin (@Pwnrin)
Foundation
Tersedia untuk: macOS Ventura
Dampak: Menguraikan file dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2024-44282: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro
Game Controllers
Tersedia untuk: macOS Ventura
Dampak: Penyerang dengan akses fisik dapat memasukkan acara Pengontrol Game ke app yang berjalan pada perangkat yang terkunci
Deskripsi: Masalah ini telah diatasi dengan membatasi pilihan yang ditawarkan pada perangkat terkunci.
CVE-2024-44265: Ronny Stiftel
ImageIO
Tersedia untuk: macOS Ventura
Dampak: Pemrosesan gambar dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-44215: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro
ImageIO
Tersedia untuk: macOS Ventura
Dampak: Memproses pesan perusak yang berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2024-44297: Jex Amro
Installer
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.
CVE-2024-44216: Zhongquan Li (@Guluisacat)
Installer
Tersedia untuk: macOS Ventura
Dampak: Aplikasi berbahaya mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-44287: Mickey Jin (@patch1t)
IOGPUFamily
Tersedia untuk: macOS Ventura
Dampak: App yang berbahaya mungkin dapat menyebabkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2024-44197: Wang Yu dari Cyberserval
Kernel
Tersedia untuk: macOS Ventura
Dampak: App dapat membocorkan status kernel yang bersifat rahasia
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
LaunchServices
Tersedia untuk: macOS Ventura
Dampak: Aplikasi mungkin dapat keluar dari sandbox
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-44122: peneliti anonim
Maps
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.
CVE-2024-44222: Kirin (@Pwnrin)
Messages
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat keluar dari sandbox
Deskripsi: Masalah telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2024-44256: Mickey Jin (@patch1t)
PackageKit
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Kerentanan penghapusan jalur telah diatasi dengan mencegah kode yang rentan agar tidak dijalankan dengan hak istimewa.
CVE-2024-44156: Arsenii Kostromin (0x3c3e)
CVE-2024-44159: Mickey Jin (@patch1t)
PackageKit
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.
CVE-2024-44196: Csaba Fitzl (@theevilbit) dari Kandji
PackageKit
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-44253: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) dari Kandji
PackageKit
Tersedia untuk: macOS Ventura
Dampak: Aplikasi berbahaya mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-44247: Un3xploitable dari CW Research Inc
CVE-2024-44267: Bohdan Stasiuk (@Bohdan_Stasiuk), Un3xploitable dari CW Research Inc, Pedro Tôrres (@t0rr3sp3dr0)
CVE-2024-44301: Bohdan Stasiuk (@Bohdan_Stasiuk), Un3xploitable dari CW Research Inc, Pedro Tôrres (@t0rr3sp3dr0)
CVE-2024-44275: Arsenii Kostromin (0x3c3e)
PackageKit
Tersedia untuk: macOS Ventura
Dampak: Penyerang dengan hak akses root mungkin dapat menghapus file sistem yang dilindungi
Deskripsi: Kerentanan penghapusan jalur telah diatasi dengan mencegah kode yang rentan agar tidak dijalankan dengan hak istimewa.
CVE-2024-44294: Mickey Jin (@patch1t)
Screen Capture
Tersedia untuk: macOS Ventura
Dampak: Penyerang dengan akses fisik mungkin dapat membagikan item dari layar terkunci
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-44137: Halle Winkler, Politepix @hallewinkler
Shortcuts
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.
CVE-2024-44254: Kirin (@Pwnrin)
Shortcuts
Tersedia untuk: macOS Ventura
Dampak: App yang berbahaya dapat menggunakan pintasan untuk mengakses file yang dibatasi
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-44269: peneliti anonim
sips
Tersedia untuk: macOS Ventura
Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba
Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2024-44236: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro
CVE-2024-44237: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro
sips
Tersedia untuk: macOS Ventura
Dampak: Menguraikan file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.
CVE-2024-44284: Junsung Lee, dw0r! yang bekerja sama dengan Zero Day Initiative dari Trend Micro
sips
Tersedia untuk: macOS Ventura
Dampak: Menguraikan file dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2024-44279: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro
CVE-2024-44281: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro
sips
Tersedia untuk: macOS Ventura
Dampak: Menguraikan file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2024-44283: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro
Siri
Tersedia untuk: macOS Ventura
Dampak: App di dalam sandbox mungkin dapat mengakses data rahasia pengguna di log sistem
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.
CVE-2024-44278: Kirin (@Pwnrin)
SystemMigration
Tersedia untuk: macOS Ventura
Dampak: App yang berbahaya mungkin dapat membuat symlink ke bagian-bagian tertentu pada disk yang dilindungi
Deskripsi: Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2024-44264: Mickey Jin (@patch1t)
WindowServer
Tersedia untuk: macOS Ventura
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.
CVE-2024-44257: Bohdan Stasiuk (@Bohdan_Stasiuk)
Ucapan terima kasih tambahan
NetworkExtension
Kami ingin mengucapkan terima kasih kepada Patrick Wardle dari DoubleYou & the Objective-See Foundation atas bantuannya.
Security
Kami ingin mengucapkan terima kasih kepada Bing Shi, Wenchao Li dan Xiaolong Bai dari Alibaba Group atas bantuannya.
Spotlight
Kami ingin mengucapkan terima kasih kepada Paulo Henrique Batista Rosa de Castro (@paulohbrc) atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.