Over de beveiligingsinhoud van macOS Ventura 13.7.3
In dit document wordt de beveiligingsinhoud van macOS Ventura 13.7.3 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
macOS Ventura 13.7.3
Releasedatum: 27 januari 2025
AppleMobileFileIntegrity
Beschikbaar voor: macOS Ventura
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een downgradeprobleem is verholpen door aanvullende codeondertekeningsbeperkingen.
CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)
AppleMobileFileIntegrity
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot informatie over de contacten van een gebruiker
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2025-24100: Kirin (@Pwnrin)
AppleMobileFileIntegrity
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.
CVE-2025-24114: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2025-24121: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een downgradeprobleem op Intel-Mac-computers is verholpen door aanvullende codeondertekeningsbeperkingen.
CVE-2025-24122: Mickey Jin (@patch1t)
ARKit
Beschikbaar voor: macOS Ventura
Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu en Xingwei Lin van Zhejiang University
Audio
Beschikbaar voor: macOS Ventura
Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24106: Wang Yu van Cyberserval
Contacts
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot contacten
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2024-44172: Kirin (@Pwnrin)
CoreMedia
Beschikbaar voor: macOS Ventura
Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24123: Desmond in samenwerking met Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) in samenwerking met Trend Micro Zero Day Initiative
CoreRoutine
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk de huidige locatie van een gebruiker bepalen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24102: Kirin (@Pwnrin)
iCloud Photo Library
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones
ImageIO
Beschikbaar voor: macOS Ventura
Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2025-24086: DongJun Kim (@smlijun) en JongSeong Kim (@nevul37) in Enki WhiteHat, D4m0n
LaunchServices
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een race condition is verholpen met aanvullende validatie.
CVE-2025-24094: een anonieme onderzoeker
LaunchServices
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk bestanden buiten zijn sandbox lezen
Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.
CVE-2025-24115: een anonieme onderzoeker
LaunchServices
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2025-24116: een anonieme onderzoeker
Login Window
Beschikbaar voor: macOS Ventura
Impact: een kwaadwillige app kan mogelijk symlinks maken om regio’s van de schijf te beveiligen
Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2025-24136: 云散
PackageKit
Beschikbaar voor: macOS Ventura
Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24099: Mickey Jin (@patch1t)
Toegevoegd op 29 januari 2025
PackageKit
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)
Photos Storage
Beschikbaar voor: macOS Ventura
Impact: het verwijderen van een gesprek in Berichten kan ertoe leiden dat contactgegevens van gebruikers in de systeemregistratie openbaar worden gemaakt
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.
CVE-2025-24146: 神罚 (@Pwnrin)
QuartzCore
Beschikbaar voor: macOS Ventura
Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-54497: Anoniem in samenwerking met Trend Micro Zero Day Initiative
Sandbox
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot verwijderbare volumes zonder toestemming van de gebruiker
Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.
CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)
SceneKit
Beschikbaar voor: macOS Ventura
Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2025-24149: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative
Security
Beschikbaar voor: macOS Ventura
Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens
Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2025-24103: Zhongquan Li (@Guluisacat)
sips
Beschikbaar voor: macOS Ventura
Impact: het parseren van een kwaadwillige vervaardigd bestand kan leiden tot de onverwachte beëindiging van apps
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24139: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative
SMB
Beschikbaar voor: macOS Ventura
Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2025-24151: een anonieme onderzoeker
Spotlight
Beschikbaar voor: macOS Ventura
Impact: een kwaadaardig programma kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) van Lupus Nova
StorageKit
Beschikbaar voor: macOS Ventura
Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen
Beschrijving: een bevoegdhedenprobleem is verholpen door verbeterde validatie.
CVE-2025-24176: Yann GASCUEL van Alter Solutions
WebContentFilter
Beschikbaar voor: macOS Ventura
Impact: een aanvaller kan mogelijk het onverwacht beëindigen van het systeem veroorzaken of het kernelgeheugen beschadigen
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2025-24154: een anonieme onderzoeker
WindowServer
Beschikbaar voor: macOS Ventura
Impact: een aanvaller kan de onverwachte beëindiging van apps veroorzaken
Beschrijving: dit probleem is verholpen door verbeterd beheer van objectlifetimes.
CVE-2025-24120: PixiePoint Security
Xsan
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk bevoegdheden verhogen
Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.
CVE-2025-24156: een anonieme onderzoeker
Aanvullende erkenning
sips
Met dank aan Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative voor de hulp.
Static Linker
Met dank aan Holger Fuhrmannek voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.