Om säkerhetsinnehållet i macOS Ventura 13.7

Det här dokumentet beskriver säkerhetsinnehållet i macOS Ventura 13.7.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Ventura 13.7

Accounts

Tillgängligt för: macOS Ventura

Effekt: En app kan kanske läcka känslig användarinformation

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-44129

App Intents

Tillgängligt för: macOS Ventura

Effekt: En app kan få åtkomst till känsliga data som loggas när en genväg misslyckas med att starta en annan app

Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.

CVE-2024-44182: Kirin (@Pwnrin)

AppKit

Tillgängligt för: macOS Ventura

Effekt: En obehörig app kan registrera tangenttryckningar i andra appar, bland annat appar som använder säkert inmatningsläge

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2024-27886: Stephan Casas, en anonym forskare

AppleMobileFileIntegrity

Tillgängligt för: macOS Ventura

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades med ytterligare kodsigneringsbegränsningar.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tillgängligt för: macOS Ventura

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Ett nedgraderingsproblem åtgärdades med ytterligare kodsigneringsbegränsningar.

CVE-2024-40814: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tillgängligt för: macOS Ventura

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tillgängligt för: macOS Ventura

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Ett biblioteksinjektionsproblem åtgärdades genom ytterligare begränsningar.

CVE-2024-44168: Claudio Bozzato och Francesco Benvenuto på Cisco Talos

AppleMobileFileIntegrity

Tillgängligt för: macOS Ventura

Effekt: En angripare kan läsa känslig information

Beskrivning: Ett nedgraderingsproblem åtgärdades med ytterligare kodsigneringsbegränsningar.

CVE-2024-40848: Mickey Jin (@patch1t)

Automator

Tillgängligt för: macOS Ventura

Effekt: Ett arbetsflöde för snabbåtgärder i Automator kan kringgå Gatekeeper

Beskrivning: Det här problemet åtgärdades genom att lägga till en extra uppmaning om användarens samtycke.

CVE-2024-44128: Anton Boegler

bless

Tillgängligt för: macOS Ventura

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Tillgängligt för: macOS Ventura

Effekt: Uppackning av ett arkiv med skadligt innehåll kan göra det möjligt för en angripare att skriva opålitliga filer

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Dock

Tillgängligt för: macOS Ventura

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett integritetsproblem åtgärdades genom borttagning av känsliga data.

CVE-2024-44177: En anonym forskare

Game Center

Tillgängligt för: macOS Ventura

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett problem med filåtkomst åtgärdades genom förbättrad indatavalidering.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Tillgängligt för: macOS Ventura

Effekt: Bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-44176: dw0r på ZeroPointer Lab som arbetar med Trend Micro Zero Day Initiative, en anonym forskare

Intel Graphics Driver

Tillgängligt för: macOS Ventura

Effekt: Bearbetning av en skadlig textur kan leda till oväntad appavslutning

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2024-44160: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

Intel Graphics Driver

Tillgängligt för: macOS Ventura

Effekt: Bearbetning av en skadlig textur kan leda till oväntad appavslutning

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-44161: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

IOSurfaceAccelerator

Tillgängligt för: macOS Ventura

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-44169: Antonio Zekić

Kernel

Tillgängligt för: macOS Ventura

Effekt: Nätverkstrafik kan läcka utanför en VPN-tunnel

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2024-44165: Andrew Lytvynov

Mail Accounts

Tillgängligt för: macOS Ventura

Effekt: En app kanske kan få åtkomst till information om en användares kontakter

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Tillgängligt för: macOS Ventura

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett problem åtgärdades med förbättrad hantering av tillfälliga filer.

CVE-2024-44181: Kirin(@Pwnrin) och LFY(@secsys) från Fudan University

mDNSResponder

Tillgängligt för: macOS Ventura

Effekt: En app kan kanske orsaka ett DoS-angrepp

Beskrivning: Ett logikfel åtgärdades genom förbättrad filhantering.

CVE-2024-44183: Olivier Levon

Notes

Tillgängligt för: macOS Ventura

Effekt: En app kan skriva över opålitliga filer

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2024-44167: ajajfxhj

PackageKit

Tillgängligt för: macOS Ventura

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2024-44178: Mickey Jin (@patch1t)

Safari

Tillgängligt för: macOS Ventura

Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-40797: Rifa'i Rejal Maynando

Sandbox

Tillgängligt för: macOS Ventura

Effekt: En app med skadligt innehåll kan få tillgång till personlig information

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Shortcuts

Tillgängligt för: macOS Ventura

Effekt: Ett kortkommando kan dela ut känsliga användardata utan samtycke

Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Tillgängligt för: macOS Ventura

Effekt: En app kan observera data som visas för användaren via Genvägar

Beskrivning: Ett integritetsproblem åtgärdades med förbättrad hantering av tillfälliga filer.

CVE-2024-40844: Kirin (@Pwnrin) och luckyu (@uuulucky) på NorthSea

System Settings

Tillgängligt för: macOS Ventura

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2024-44166: Kirin (@Pwnrin) och LFY (@secsys) från Fudan University

System Settings

Tillgängligt för: macOS Ventura

Effekt: En app kanske kan läsa opålitliga filer

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

Transparency

Tillgängligt för: macOS Ventura

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

Ytterligare tack

AirPort

Vi vill tacka David Dudok de Wit för hjälpen.