macOS Ventura 13.7 のセキュリティコンテンツについて

macOS Ventura 13.7 のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。

macOS Ventura 13.7

Accounts

対象 OS：macOS Ventura

影響：アプリが重要なユーザ情報を漏洩させる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44129

App Intents

対象 OS：macOS Ventura

影響：ショートカットが別のアプリを起動できない場合、アプリが機微なデータにアクセスできる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-40793：Kirin 氏 (@Pwnrin)

AppKit

対象 OS：macOS Ventura

影響：権限のないアプリがセキュア入力モードを使用しているアプリを含むほかのアプリのキー操作をログできる可能性がある。

説明：制限を強化し、ロジックの脆弱性に対処しました。

CVE-2024-27886：Stephan Casas 氏、匿名の研究者

AppleMobileFileIntegrity

対象 OS：macOS Ventura

影響：アプリがユーザの機微データにアクセスできる可能性がある。

説明：コード署名の制限を追加で設けて問題に対処しました。

CVE-2024-40847：Mickey Jin 氏 (@patch1t)

AppleMobileFileIntegrity

対象 OS：macOS Ventura

影響：アプリがプライバシーの環境設定を回避する可能性がある。

説明：コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。

CVE-2024-40814：Mickey Jin 氏 (@patch1t)

AppleMobileFileIntegrity

対象 OS：macOS Ventura

影響：アプリがプライバシーの環境設定を回避する可能性がある。

説明：この問題は、チェックを強化することで解決されました。

CVE-2024-44164：Mickey Jin 氏 (@patch1t)

AppleMobileFileIntegrity

対象 OS：macOS Ventura

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：制限を強化し、ライブラリのインジェクションの問題に対処しました。

CVE-2024-44168：Cisco Talos の Claudio Bozzato 氏および Francesco Benvenuto 氏

AppleMobileFileIntegrity

対象 OS：macOS Ventura

影響：攻撃者に機微情報を読み取られる可能性がある。

説明：コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。

CVE-2024-40848：Mickey Jin 氏 (@patch1t)

Automator

対象 OS：macOS Ventura

影響：Automator のクイックアクションワークフローは、Gatekeeper を回避できる可能性がある。

説明：ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。

CVE-2024-44128：Anton Boegler 氏

bless

対象 OS：macOS Ventura

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44151：Mickey Jin 氏 (@patch1t)

Compression

対象 OS：macOS Ventura

影響：悪意を持って作成されたアーカイブのパックを解除すると、攻撃者が任意のファイルを書き込めるようになる可能性がある。

説明：ロック処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2024-27876：Snoolie Keffaber 氏 (@0xilis)

Dock

対象 OS：macOS Ventura

影響：アプリが重要なユーザデータにアクセスできる可能性がある。

説明：機微なデータを削除することで、プライバシーの問題に対処しました。

CVE-2024-44177：匿名の研究者

Game Center

対象 OS：macOS Ventura

影響：アプリが重要なユーザデータにアクセスできる可能性がある。

説明：入力検証を強化して、ファイルへのアクセスの問題に対処しました。

CVE-2024-40850：Denis Tokarev 氏 (@illusionofcha0s)

ImageIO

対象 OS：macOS Ventura

影響：画像を処理すると、サービス運用妨害を受ける可能性がある。

説明：配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。

CVE-2024-44176: Trend Micro Zero Day Initiative に協力する ZeroPointer Lab の dw0r 氏、匿名の研究者

Intel Graphics Driver

対象 OS：macOS Ventura

影響：悪意を持って作成されたテクスチャを処理すると、アプリが予期せず終了する可能性がある。

説明：メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。

CVE-2024-44160：Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi)

Intel Graphics Driver

対象 OS：macOS Ventura

影響：悪意を持って作成されたテクスチャを処理すると、アプリが予期せず終了する可能性がある。

説明：配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。

CVE-2024-44161：Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi)

IOSurfaceAccelerator

対象 OS：macOS Ventura

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-44169：Antonio Zekić 氏

Kernel

対象 OS：macOS Ventura

影響：ネットワークトラフィックが VPN トンネル外に流出する可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-44165: Andrew Lytvynov 氏

Mail Accounts

対象 OS：macOS Ventura

影響：アプリがユーザの連絡先に関する情報にアクセスできる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2024-40791：Rodolphe BRUNETTI 氏 (@eisw0lf)

Maps

対象 OS：macOS Ventura

影響：アプリが重要な位置情報を読み取れる可能性がある。

説明：一時ファイルの処理を改善することで、問題に対処しました。

CVE-2024-44181：Fudan University の Kirin 氏 (@Pwnrin)、LFY 氏 (@secsys)

mDNSResponder

対象 OS：macOS Ventura

影響：アプリからサービス運用妨害を受ける可能性がある。

説明：ファイル処理を改善し、ロジックの問題に対処しました。

CVE-2024-44183：Olivier Levon 氏

Notes

対象 OS：macOS Ventura

影響：アプリが任意のファイルに上書きできる可能性がある。

説明：この問題は、脆弱なコードを削除することで解決されました。

CVE-2024-44167：ajajfxhj 氏

PackageKit

対象 OS：macOS Ventura

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：シンボリックリンクの検証を改善することで、この問題に対処しました。

CVE-2024-44178：Mickey Jin 氏 (@patch1t)

Safari

対象 OS：macOS Ventura

影響：悪意のある Web サイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2024-40797：Rifa'i Rejal Maynando 氏

Sandbox

対象 OS：macOS Ventura

影響：悪意のあるアプリケーションに、非公開の情報にアクセスされる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44163：Zhongquan Li 氏 (@Guluisacat)

Shortcuts

対象 OS：macOS Ventura

影響：ショートカットがユーザの同意なく重要なユーザデータを出力できる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-44158：Kirin 氏 (@Pwnrin)

Shortcuts

対象 OS：macOS Ventura

影響：ショートカットによってユーザに表示されるデータをアプリが参照できる可能性がある

説明：一時ファイルの処理を改善することで、プライバシーの問題に対処しました。

CVE-2024-40844：NorthSea の Kirin 氏 (@Pwnrin) と luckyu 氏 (@uuulucky)

System Settings

対象 OS：macOS Ventura

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2024-44166：Fudan University の Kirin 氏 (@Pwnrin)、LFY 氏 (@secsys)

System Settings

対象 OS：macOS Ventura

影響：アプリが任意のファイルを読み取れる可能性がある。

説明：検証を強化して、パスの処理における脆弱性に対処しました。

CVE-2024-44190：Rodolphe BRUNETTI 氏 (@eisw0lf)

Transparency

対象 OS：macOS Ventura

影響：アプリが重要なユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-44184：Bohdan Stasiuk 氏 (@Bohdan_Stasiuk)

ご協力いただいたその他の方々

AirMac

David Dudok de Wit 氏のご協力に感謝いたします。