Despre conținutul de securitate din macOS Ventura 13.7.2
Acest document descrie conținutul de securitate din macOS Ventura 13.7.2.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.
macOS Ventura 13.7.2
Lansare: 11 decembrie 2024
Apple Software Restore
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-54477: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) de la Kandji
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2024-54527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Ventura
Impact: o aplicație rău intenționată poate accesa informații confidențiale
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)
Audio
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-54529: Dillon Franke în colaborare cu Google Project Zero
Crash Reporter
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării fișierelor.
CVE-2024-44300: un cercetător anonim
DiskArbitration
Disponibilitate pentru: macOS Ventura
Impact: un volum criptat poate fi accesat de un utilizator diferit fără solicitarea parolei
Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2024-54466: Michael Cohen
Disk Utility
Disponibilitate pentru: macOS Ventura
Impact: rularea unei comenzi de montare poate executa cod arbitrar în mod neașteptat
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2024-54489: D’Angelo Gonzalez de la CrowdStrike
FontParser
Disponibilitate pentru: macOS Ventura
Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-54486: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative
ImageIO
Disponibilitate pentru: macOS Ventura
Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-54500: Junsung Lee în colaborare cu Trend Micro Zero Day Initiative
Kernel
Disponibilitate pentru: macOS Ventura
Impact: un atacator ar putea crea o mapare de memorie numai pentru citire în care se poate scrie
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2024-54494: sohybbyk
Kernel
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate scurge informații sensibile privind starea kernelului
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2024-54510: Joseph Ravichandran (@0xjprx) de la MIT CSAIL
libarchive
Disponibilitate pentru: macOS Ventura
Impact: procesarea unui fișier creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-44201: Ben Roeder
libexpat
Disponibilitate pentru: macOS Ventura
Impact: un atacator la distanță poate provoca închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.
CVE-2024-45490
libxpc
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate evada din sandbox
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-54514: un cercetător anonim
libxpc
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-44225: 风沐云烟(@binary_fmyy)
PackageKit
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-54474: Mickey Jin (@patch1t)
CVE-2024-54476: Mickey Jin (@patch1t), Bohdan Stasiuk (@Bohdan_Stasiuk)
SceneKit
Disponibilitate pentru: macOS Ventura
Impact: procesarea unui fișier creat cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-54501: Michael DePlante (@izobashi) de la Zero Day Initiative (Trend Micro)
Screen Sharing Server
Disponibilitate pentru: macOS Ventura
Impact: un utilizator cu acces la partajarea ecranului poate vizualiza ecranul altui utilizator
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2024-44248: Halle Winkler, Politepix (theoffcuts.org)
SharedFileList
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate suprascrie fișiere arbitrare
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2024-54528: un cercetător anonim
SharedFileList
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate evada din sandbox
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2024-54498: un cercetător anonim
Software Update
Disponibilitate pentru: macOS Ventura
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării fișierelor.
CVE-2024-44291: Arsenii Kostromin (0x3c3e)
StorageKit
Disponibilitate pentru: macOS Ventura
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2024-44224: Amy (@asentientbot)
Alte mențiuni
CUPS
Dorim să-i mulțumim lui evilsocket pentru asistența acordată.
Proximity
Dorim să le mulțumim lui Junming C. (@Chapoly1305) și profesorului Qiang Zeng de la George Mason University pentru asistența acordată.
Sandbox
Dorim să mulțumim IES Red Team de la ByteDance pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.