Despre conținutul de securitate din macOS Ventura 13.7

Acest document descrie conținutul de securitate din macOS Ventura 13.7.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile lansate recent sunt prezentate pe pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

macOS Ventura 13.7

Accounts

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate scurge informații sensibile ale utilizatorilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44129

App Intents

Disponibilitate pentru: macOS Ventura

Impact: o aplicație ar putea accesa datele sensibile înregistrate atunci când o scurtătură nu reușește să lanseze altă aplicație

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2024-44182: Kirin (@Pwnrin)

AppKit

Disponibilitate pentru: macOS Ventura

Impact: O aplicație fără privilegii poate înregistra tastarea în alte aplicații, inclusiv cele care utilizează modul securizat de intrare

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2024-27886: Stephan Casas, un cercetător anonim

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: problema a fost remediată prin restricții suplimentare pentru semnarea codului.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: o problemă de downgrade a fost rezolvată cu restricții suplimentare pentru semnarea codului.

CVE-2024-40814: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de injectare la bibliotecă a fost remediată prin restricții suplimentare.

CVE-2024-44168: Claudio Bozzato și Francesco Benvenuto din cadrul Cisco Talos

AppleMobileFileIntegrity

Disponibilitate pentru: macOS Ventura

Impact: un atacator ar putea citi informații sensibile

Descriere: o problemă de downgrade a fost rezolvată cu restricții suplimentare pentru semnarea codului.

CVE-2024-40848: Mickey Jin (@patch1t)

Automator

Disponibilitate pentru: macOS Ventura

Impact: un flux de lucru Quick Action din Automator ar putea fi capabil să ocolească Gatekeeper

Descriere: problema a fost remediată prin adăugarea unei solicitări suplimentare a acordului utilizatorului.

CVE-2024-44128: Anton Boegler

bless

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Disponibilitate pentru: macOS Ventura

Impact: despachetarea unei arhive create cu rea intenție poate permite unui atacator să scrie fișiere arbitrare

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Dock

Disponibilitate pentru: macOS Ventura

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de confidențialitate a fost remediată prin eliminarea datelor sensibile.

CVE-2024-44177: un cercetător anonim

Game Center

Disponibilitate pentru: macOS Ventura

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de acces la fișiere a fost remediată prin îmbunătățirea validării intrării.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Disponibilitate pentru: macOS Ventura

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-44176: dw0r de la ZeroPointer Lab în colaborare cu Trend Micro Zero Day Initiative, un cercetător anonim

Intel Graphics Driver

Disponibilitate pentru: macOS Ventura

Impact: procesarea unei texturi create cu rea intenție ar putea cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2024-44160: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

Intel Graphics Driver

Disponibilitate pentru: macOS Ventura

Impact: procesarea unei texturi create cu rea intenție ar putea cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-44161: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

IOSurfaceAccelerator

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-44169: Antonio Zekić

Kernel

Disponibilitate pentru: macOS Ventura

Impact: traficul de rețea s-ar putea scurge în afara tunelului VPN

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-44165: Andrew Lytvynov

Mail Accounts

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate accesa informații despre contactele unui utilizator

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: a fost rezolvată o problemă printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2024-44181: Kirin(@Pwnrin) și LFY(@secsys) de la Fudan University

mDNSResponder

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: o eroare de logică a fost remediată prin îmbunătățirea gestionării erorilor.

CVE-2024-44183: Olivier Levon

Notes

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate suprascrie fișiere arbitrare

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2024-44167: ajajfxhj

PackageKit

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2024-44178: Mickey Jin (@patch1t)

Safari

Disponibilitate pentru: macOS Ventura

Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-40797: Rifa'i Rejal Maynando

Sandbox

Disponibilitate pentru: macOS Ventura

Impact: este posibil ca o aplicație rău-intenționată să poată accesa informații private

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Shortcuts

Disponibilitate pentru: macOS Ventura

Impact: o scurtătură poate fi capabilă să trimită date sensibile despre utilizator fără acordul acestuia

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Disponibilitate pentru: macOS Ventura

Impact: o aplicație ar putea observa datele afișate utilizatorului prin Scurtături

Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2024-40844: Kirin (@Pwnrin) și luckyu (@uuulucky) de la NorthSea

System Settings

Disponibilitate pentru: macOS Ventura

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-44166: Kirin (@Pwnrin) și LFY (@secsys) de la Fudan University

System Settings

Disponibilitate pentru: macOS Ventura

Impact: o aplicație poate citi fișiere arbitrare

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

Transparency

Disponibilitate pentru: macOS Ventura

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

Alte mențiuni

Airport

Dorim să îi mulțumim lui David Dudok de Wit pentru asistență.