Om säkerhetsinnehållet i macOS Ventura 13.7.1
I det här dokumentet beskrivs säkerhetsinnehållet i macOS Ventura 13.7.1.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet
Om säkerhetsinnehållet i macOS Ventura 13.7.1
Släpptes den 28 oktober 2024
App Support
Tillgängligt för: macOS Ventura
Effekt: En skadlig app kan köra opålitliga genvägar utan användarens samtycke
BeskBeskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad logik.
CVE-2024-44255: En anonym forskare
AppleAVD
Tillgängligt för: macOS Ventura
Effekt: Tolkning av en videofil med skadligt innehåll kan leda till oväntad systemavstängning
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2024-44232: Ivan Fratric på Google Project Zero
CVE-2024-44233: Ivan Fratric på Google Project Zero
CVE-2024-44234: Ivan Fratric på Google Project Zero
Lades till 1 november 2024
AppleMobileFileIntegrity
Tillgängligt för: macOS Ventura
Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2024-44270: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Tillgängligt för: macOS Ventura
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett nedgraderingsproblem som påverkade Intel-baserade Mac-datorer åtgärdades med ytterligare kodsigneringsbegränsningar.
CVE-2024-44280: Mickey Jin (@patch1t)
ARKit
Tillgängligt för: macOS Ventura
Effekt: Bearbetning av en skadlig fil kan leda till heap-fel
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-44126: Holger Fuhrmannek
Assets
Tillgängligt för: macOS Ventura
Effekt: En skadlig app med rotbehörigheter kan ändra innehållet i systemfiler
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2024-44260: Mickey Jin (@patch1t)
CoreServicesUIAgent
Tillgängligt för: macOS Ventura
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet åtgärdades med ytterligare behörighetskontroller.
CVE-2024-44295: En anonym forskare
CoreText
Tillgängligt för: macOS Ventura
Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-44240: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative
CVE-2024-44302: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative
CUPS
Tillgängligt för: macOS Ventura
Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation
Beskrivning: Ett problem förekom i tolkningen av webbadresser. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2024-44213: Alexandre Bedard
DiskArbitration
Tillgängligt för: macOS Ventura
Effekt: En app i sandlådan kanske kan komma åt känsliga användardata
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-40855: Csaba Fitzl (@theevilbit) på Kandji
Find My
Tillgängligt för: macOS Ventura
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2024-44289: Kirin (@Pwnrin)
Foundation
Tillgängligt för: macOS Ventura
Effekt: Tolkning av en fil kan leda till att användarinformation avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2024-44282: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative
Game Controllers
Tillgängligt för: macOS Ventura
Effekt: En angripare med fysisk åtkomst kan mata in spelkontrollhändelser till appar som körs på en låst enhet
Beskrivning: Problemet åtgärdades genom att begränsa tillgängliga alternativ på en låst enhet.
CVE-2024-44265: Ronny Stiftel
ImageIO
Tillgängligt för: macOS Ventura
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2024-44215: Junsung Lee i samarbete med Trend Micro Zero Day Initiative
ImageIO
Tillgängligt för: macOS Ventura
Effekt: Bearbetning av ett skadligt meddelande kan leda till att åtkomst till tjänsten nekas
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2024-44297: Jex Amro
Installer
Tillgängligt för: macOS Ventura
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.
CVE-2024-44216: Zhongquan Li (@Guluisacat)
Installer
Tillgängligt för: macOS Ventura
Effekt: En skadlig app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-44287: Mickey Jin (@patch1t)
IOGPUFamily
Tillgängligt för: macOS Ventura
Effekt: En skadlig app kan kanske orsaka ett DoS-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-44197: Wang Yu på Cyberserval
Kernel
Tillgängligt för: macOS Ventura
Effekt: En app kan läcka känsliga kerneltillstånd
Beskrivning: Ett problem med att information avslöjades åtgärdades med förbättrad redigering av privata data för loggposter.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
LaunchServices
Tillgängligt för: macOS Ventura
Effekt: Ett program kan bryta sig ut från sitt begränsade läge
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2024-44122: En anonym forskare
Maps
Tillgängligt för: macOS Ventura
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2024-44222: Kirin (@Pwnrin)
Messages
Tillgängligt för: macOS Ventura
Effekt: En app kan bryta sig ut från sin sandlåda
Beskrivning: Problemet åtgärdades genom förbättrad indatasanering.
CVE-2024-44256: Mickey Jin (@patch1t)
PackageKit
Tillgängligt för: macOS Ventura
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: En sårbarhet för radering av sökvägar åtgärdades genom att förhindra sårbar kod från att köras med behörigheter.
CVE-2024-44156: Arsenii Kostromin (0x3c3e)
CVE-2024-44159: Mickey Jin (@patch1t)
PackageKit
Tillgängligt för: macOS Ventura
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2024-44196: Csaba Fitzl (@theevilbit) på Kandji
PackageKit
Tillgängligt för: macOS Ventura
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-44253: Mickey Jin (@patch1t) och Csaba Fitzl (@theevilbit) på Kandji
PackageKit
Tillgängligt för: macOS Ventura
Effekt: En skadlig app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-44247: Un3xploitable på CW Research Inc
CVE-2024-44267: Bohdan Stasiuk (@Bohdan_Stasiuk), Un3xploitable på CW Research Inc, Pedro Tôrres (@t0rr3sp3dr0)
CVE-2024-44301: Bohdan Stasiuk (@Bohdan_Stasiuk), Un3xploitable på CW Research Inc, Pedro Tôrres (@t0rr3sp3dr0)
CVE-2024-44275: Arsenii Kostromin (0x3c3e)
PackageKit
Tillgängligt för: macOS Ventura
Effekt: En angripare med rotbehörighet kanske kan radera skyddade systemfiler
Beskrivning: En sårbarhet för radering av sökvägar åtgärdades genom att förhindra sårbar kod från att köras med behörigheter.
CVE-2024-44294: Mickey Jin (@patch1t)
Screen Capture
Tillgängligt för: macOS Ventura
Effekt: En angripare med fysisk åtkomst kanske kan dela objekt från låsskärmen
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-44137: Halle Winkler, Politepix @hallewinkler
Shortcuts
Tillgängligt för: macOS Ventura
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2024-44254: Kirin (@Pwnrin)
Shortcuts
Tillgängligt för: macOS Ventura
Effekt: En skadlig app kan använda genvägar för att komma åt begränsade filer
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2024-44269: En anonym forskare
sips
Tillgängligt för: macOS Ventura
Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning
Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2024-44236: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative
CVE-2024-44237: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative
sips
Tillgängligt för: macOS Ventura
Effekt: Tolkning av en skadlig fil kan leda till oväntad appavslutning
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2024-44284: Junsung Lee, dw0r! i samarbete med Trend Micro Zero Day Initiative
sips
Tillgängligt för: macOS Ventura
Effekt: Tolkning av en fil kan leda till att användarinformation avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2024-44279: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative
CVE-2024-44281: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative
sips
Tillgängligt för: macOS Ventura
Effekt: Tolkning av en skadlig fil kan leda till oväntad appavslutning
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2024-44283: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative
Siri
Tillgängligt för: macOS Ventura
Effekt: En app i sandlådan kanske kan komma åt känsliga användardata i systemloggar
Beskrivning: Ett problem med att information avslöjades åtgärdades med förbättrad redigering av privata data för loggposter.
CVE-2024-44278: Kirin (@Pwnrin)
SystemMigration
Tillgängligt för: macOS Ventura
Effekt: En skadlig app kanske kan skapa symlänkar till skyddade delar av disken
Beskrivning: Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2024-44264: Mickey Jin (@patch1t)
WindowServer
Tillgängligt för: macOS Ventura
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2024-44257: Bohdan Stasiuk (@Bohdan_Stasiuk)
Ytterligare tack
NetworkExtension
Vi vill tacka Patrick Wardle på DoubleYou och Objective-See Foundation för hjälpen.
Security
Vi vill tacka Bing Shi, Wenchao Li och Xiaolong Bai på Alibaba Group för hjälpen.
Spotlight
Vi vill tacka Paulo Henrique Batista Rosa de Castro (@paulohbrc) för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.