Zawartość związana z zabezpieczeniami w systemie macOS Ventura 13.7
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Ventura 13.7.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów Apple.
macOS Ventura 13.7
Wydano 16 września 2024 r.
Accounts
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie ujawnić poufne informacje użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-44129
App Intents
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może uzyskać dostęp do poufnych danych zarejestrowanych, gdy skrót nie uruchomi innej aplikacji.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2024-44182: Kirin (@Pwnrin)
AppKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: nieuprzywilejowana aplikacja może być w stanie rejestrować naciśnięcia klawiszy w innych aplikacjach, w tym w aplikacjach używających trybu bezpiecznego wprowadzania.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2024-27886: Stephan Casas i anonimowy badacz
AppleMobileFileIntegrity
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: błąd naprawiono przez dodatkowe ograniczenia podpisywania kodu.
CVE-2024-40847: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: naprawiono błąd degradacji przez wprowadzenie dodatkowych ograniczeń dotyczących podpisywania kodu.
CVE-2024-40814: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2024-44164: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd dotyczący wstawiania biblioteki przez wprowadzenie dodatkowych ograniczeń.
CVE-2024-44168: Claudio Bozzato i Francesco Benvenuto z Cisco Talos
AppleMobileFileIntegrity
Dostępne dla: systemu macOS Ventura
Zagrożenie: osoba atakująca może być w stanie odczytać poufne informacje.
Opis: naprawiono błąd degradacji przez wprowadzenie dodatkowych ograniczeń dotyczących podpisywania kodu.
CVE-2024-40848: Mickey Jin (@patch1t)
Automator
Dostępne dla: systemu macOS Ventura
Zagrożenie: przepływ zadań w szybkiej czynności Automatora może ominąć kontrole funkcji Gatekeeper.
Opis: ten błąd rozwiązano przez wprowadzenie dodatkowego monitu o zgodę użytkownika.
CVE-2024-44128: Anton Boegler
bless
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2024-44151: Mickey Jin (@patch1t)
Compression
Dostępne dla: systemu macOS Ventura
Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może umożliwić osobie atakującej zapisanie dowolnych plików.
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Dock
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem z prywatnością przez usunięcie poufnych danych.
CVE-2024-44177: anonimowy badacz
Game Center
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto błąd dostępu do pliku przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2024-44176: dw0r z ZeroPointer Lab w ramach programu Zero Day Initiative firmy Trend Micro, anonimowy badacz
Intel Graphics Driver
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie złośliwie spreparowanej tekstury może spowodować nieoczekiwane zamknięcie aplikacji.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2024-44160: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro
Intel Graphics Driver
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie złośliwie spreparowanej tekstury może spowodować nieoczekiwane zamknięcie aplikacji.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2024-44161: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro
IOSurfaceAccelerator
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-44169: Antonio Zekić
Kernel
Dostępne dla: systemu macOS Ventura
Zagrożenie: ruch sieciowy może wyciekać poza tunel VPN.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2024-44165: Andrew Lytvynov
Mail Accounts
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do informacji o kontaktach użytkownika.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)
Maps
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: rozwiązano problem przez ulepszenie obsługi plików tymczasowych.
CVE-2024-44181: Kirin(@Pwnrin) i LFY(@secsys) z Fudan University
mDNSResponder
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”
Opis: naprawiono błąd logiczny przez poprawienie obsługi błędów.
CVE-2024-44183: Olivier Levon
Notes
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie nadpisywać arbitralnie wybrane pliki.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2024-44167: ajajfxhj
PackageKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2024-44178: Mickey Jin (@patch1t)
Safari
Dostępne dla: systemu macOS Ventura
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
CVE-2024-40797: Rifa'i Rejal Maynando
Sandbox
Dostępne dla: systemu macOS Ventura
Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-44163: Zhongquan Li (@Guluisacat)
Shortcuts
Dostępne dla: systemu macOS Ventura
Zagrożenie: skrót może wyświetlić poufne dane użytkownika bez jego zgody.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2024-44158: Kirin (@Pwnrin)
Shortcuts
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie obserwować dane wyświetlane użytkownikowi przez Skróty.
Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików tymczasowych.
CVE-2024-40844: Kirin (@Pwnrin) i luckyu (@uuulucky) z NorthSea
System Settings
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2024-44166: Kirin (@Pwnrin) i LFY (@secsys) z Fudan University
System Settings
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie odczytywać arbitralnie wybrane pliki.
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)
Transparency
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)
Dodatkowe podziękowania
Airport
Dziękujemy za udzieloną pomoc: David Dudok de Wit.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.