Zawartość związana z zabezpieczeniami w systemie macOS Ventura 13.7.3
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Ventura 13.7.3.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
macOS Ventura 13.7.3
Wydano 27 stycznia 2025 r.
AppleMobileFileIntegrity
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd degradacji przez wprowadzenie dodatkowych ograniczeń dotyczących podpisywania kodu.
CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)
AppleMobileFileIntegrity
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do informacji o kontaktach użytkownika.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2025-24100: Kirin (@Pwnrin)
AppleMobileFileIntegrity
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2025-24114: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2025-24121: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: rozwiązano problem z przechodzeniem na starszą wersję w Macach z procesorem Intel, wprowadzając dodatkowe ograniczenia dotyczące podpisywania kodu.
CVE-2025-24122: Mickey Jin (@patch1t)
ARKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: analizowanie pliku może spowodować nieoczekiwane zamknięcie aplikacji
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu i Xingwei Lin z Uniwersytetu Zhejiang
Audio
Dostępne dla: systemu macOS Ventura
Zagrożenie: analizowanie pliku może spowodować nieoczekiwane zamknięcie aplikacji
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24106: Wang Yu z Cyberserval
Contacts
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może mieć dostęp do kontaktów.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2024-44172: Kirin (@Pwnrin)
CoreMedia
Dostępne dla: systemu macOS Ventura
Zagrożenie: analizowanie pliku może spowodować nieoczekiwane zamknięcie aplikacji
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24123: Desmond pracujący w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2025-24124: Pwn2car i Rotiple (HyeongSeok Jang) pracujący w ramach programu Zero Day Initiative firmy Trend Micro
CoreRoutine
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie określić bieżącą lokalizację użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24102: Kirin (@Pwnrin)
iCloud Photo Library
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones
ImageIO
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2025-24086: DongJun Kim (@smlijun) i JongSeong Kim (@nevul37) w Enki WhiteHat, D4m0n
LaunchServices
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.
CVE-2025-24094: anonimowy badacz
LaunchServices
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może odczytywać pliki poza swoją piaskownicą
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2025-24115: anonimowy badacz
LaunchServices
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.
CVE-2025-24116: anonimowy badacz
Login Window
Dostępne dla: systemu macOS Ventura
Zagrożenie: złośliwa aplikacja może być w stanie tworzyć łącza symboliczne do chronionych obszarów dysku.
Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2025-24136: 云散
PackageKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: lokalny atakujący może być w stanie podwyższyć swój poziom uprawnień.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24099: Mickey Jin (@patch1t)
Wpis dodano 29 stycznia 2025 r.
PackageKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)
Photos Storage
Dostępne dla: systemu macOS Ventura
Zagrożenie: usunięcie konwersacji w Wiadomościach może spowodować ujawnienie informacji kontaktowych użytkownika w dzienniku systemowym
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2025-24146: 神罚(@Pwnrin)
QuartzCore
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54497: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
Sandbox
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do wymiennych woluminów użytkownika bez uzyskiwania zgody użytkownika.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)
SceneKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: analiza składni pliku może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2025-24149: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro
Security
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.
Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2025-24103: Zhongquan Li (@Guluisacat)
sips
Dostępne dla: systemu macOS Ventura
Zagrożenie: analizowanie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24139: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro
SMB
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2025-24151: anonimowy badacz
Spotlight
Dostępne dla: systemu macOS Ventura
Zagrożenie: złośliwa aplikacja może być w stanie ujawnić poufne informacje użytkownika.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) z Lupus Nova
StorageKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: lokalny atakujący może być w stanie podwyższyć swój poziom uprawnień.
Opis: usunięto błąd uprawnień przez poprawienie procedury sprawdzania poprawności.
CVE-2025-24176: Yann GASCUEL z Alter Solutions
WebContentFilter
Dostępne dla: systemu macOS Ventura
Zagrożenie: atakujący może spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2025-24154: anonimowy badacz
WindowServer
Dostępne dla: systemu macOS Ventura
Zagrożenie: osoba atakująca może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.
Opis: ten błąd naprawiono przez ulepszenie zarządzania okresami istnienia obiektów.
CVE-2025-24120: PixiePoint Security
Xsan
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2025-24156: anonimowy badacz
Dodatkowe podziękowania
sips
Dziękujemy za udzieloną pomoc: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro.
Static Linker
Dziękujemy za udzieloną pomoc: Holger Fuhrmannek.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.