Over de beveiligingsinhoud van macOS Ventura 13.7
In dit document wordt de beveiligingsinhoud van macOS Ventura 13.7 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
macOS Ventura 13.7
Releasedatum: 16 september 2024
Accounts
Beschikbaar voor: macOS Ventura
Impact: een app kan vertrouwelijke gebruikersgegevens vrijgeven
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-44129
App Intents
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk gevoelige gegevens openen die geregistreerd worden wanneer het niet lukt met een opdracht een andere app te openen
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.
CVE-2024-44182: Kirin (@Pwnrin)
AppKit
Beschikbaar voor: macOS Ventura
Impact: een onbevoegde app kan mogelijk toetsaanslagen uit andere apps vastleggen, waaronder apps die de beveiligde invoermodus gebruiken
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2024-27886: Stephan Casas, een anonieme onderzoeker
AppleMobileFileIntegrity
Beschikbaar voor: macOS Ventura
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: het probleem is verholpen door aanvullende beperkingen voor code-ondertekeningen.
CVE-2024-40847: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: een downgradeprobleem is verholpen door aanvullende codeondertekeningsbeperkingen.
CVE-2024-40814: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2024-44164: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: er is een probleem met invoegen van bibliotheken verholpen door aanvullende beperkingen.
CVE-2024-44168: Claudio Bozzato en Francesco Benvenuto van Cisco Talos
AppleMobileFileIntegrity
Beschikbaar voor: macOS Ventura
Impact: een aanvaller kan mogelijk vertrouwelijke informatie lezen
Beschrijving: een downgradeprobleem is verholpen door aanvullende codeondertekeningsbeperkingen.
CVE-2024-40848: Mickey Jin (@patch1t)
Automator
Beschikbaar voor: macOS Ventura
Impact: een workflow voor snelle takenreeksen van Automator kan mogelijk Gatekeeper omzeilen
Beschrijving: dit probleem is verholpen door een extra melding toe te voegen waarin de gebruiker om toestemming gevraagd wordt.
CVE-2024-44128: Anton Boegler
bless
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.
CVE-2024-44151: Mickey Jin (@patch1t)
Compression
Beschikbaar voor: macOS Ventura
Impact: het uitpakken van een kwaadwillig vervaardigd archief kan een aanvaller de mogelijkheid geven om willekeurige bestanden te schrijven
Beschrijving: een race condition is verholpen door verbeterde vergrendeling.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Dock
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: er is een privacyprobleem verholpen door gevoelige gegevens te verwijderen.
CVE-2024-44177: een anonieme onderzoeker
Game Center
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: er is een probleem met bestandstoegang verholpen door verbeterde invoervalidatie.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Beschikbaar voor: macOS Ventura
Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.
CVE-2024-44176: dw0r van ZeroPointer Lab in samenwerking met Trend Micro Zero Day Initiative, een anonieme onderzoeker
Intel Graphics Driver
Beschikbaar voor: macOS Ventura
Impact: het verwerken van een kwaadwillig vervaardigde structuur kan leiden tot het onverwacht beëindigen van de app
Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.
CVE-2024-44160: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative
Intel Graphics Driver
Beschikbaar voor: macOS Ventura
Impact: het verwerken van een kwaadwillig vervaardigde structuur kan leiden tot het onverwacht beëindigen van de app
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2024-44161: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative
IOSurfaceAccelerator
Beschikbaar voor: macOS Ventura
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2024-44169: Antonio Zekić
Kernel
Beschikbaar voor: macOS Ventura
Impact: netwerkverkeer kan buiten een VPN-tunnel terechtkomen
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2024-44165: Andrew Lytvynov
Mail Accounts
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot informatie over de contacten van een gebruiker
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)
Maps
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen
Beschrijving: een probleem is verholpen door verbeterde verwerking van tijdelijke bestanden.
CVE-2024-44181: Kirin(@Pwnrin) en LFY(@secsys) van Fudan University
mDNSResponder
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk een denial-of-service veroorzaken
Beschrijving: een logicaprobleem is verholpen door verbeterde foutverwerking.
CVE-2024-44183: Olivier Levon
Notes
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk willekeurige bestanden overschrijven
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2024-44167: ajajfxhj
PackageKit
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2024-44178: Mickey Jin (@patch1t)
Safari
Beschikbaar voor: macOS Ventura
Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-40797: Rifa'i Rejal Maynando
Sandbox
Beschikbaar voor: macOS Ventura
Impact: een kwaadaardige app kan mogelijk toegang verkrijgen tot privégegevens
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-44163: Zhongquan Li (@Guluisacat)
Shortcuts
Beschikbaar voor: macOS Ventura
Impact: een opdracht kan mogelijk zonder toestemming gevoelige gebruikersgegevens vrijgeven
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.
CVE-2024-44158: Kirin (@Pwnrin)
Shortcuts
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk gegevens waarnemen die aan de gebruiker worden weergeven via Opdrachten
Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.
CVE-2024-40844: Kirin (@Pwnrin) en luckyu (@uuulucky) van NorthSea
System Settings
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2024-44166: Kirin (@Pwnrin) en LFY (@secsys) van Fudan University
System Settings
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk willekeurige bestanden lezen
Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.
CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)
Transparency
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.
CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)
Aanvullende erkenning
AirPort
Met dank aan David Dudok de Wit voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.