Відомості про проблеми системи безпеки, які усунено в оновленні macOS Ventura 13.6.4

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Ventura 13.6.4.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Ventura 13.6.4

Apple Neural Engine

Доступно для: macOS Ventura

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-23212: Ye Zhang із Baidu Security

Accessibility

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2023-42937: Noah Roskin-Frazee та користувач Prof. J. (ZeroClicks.ai Lab)

Core Data

Доступно для: macOS Ventura

Вплив: програма може обходити параметри приватності.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2023-40528: Kirin (@Pwnrin) із NorthSea

curl

Доступно для: macOS Ventura

Вплив: виявлено кілька проблем у curl.

Опис: численні проблеми усунено через оновлення curl до версії 8.4.0.

CVE-2023-38545

CVE-2023-38039

CVE-2023-38546

Finder

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-23224: Brian McNulty

ImageIO

Доступно для: macOS Ventura

Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-42888: Michael DePlante (@izobashi) із Trend Micro Zero Day Initiative

LoginWindow

Доступно для: macOS Ventura

Вплив: локальний зловмисник може переглядати робочий стіл попереднього користувача, який увійшов у систему, на екрані швидкого перемикання користувачів.

Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.

CVE-2023-42935: ASentientBot

Mail Search

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2024-23207: Noah Roskin-Frazee та користувач Prof. J. (ZeroClicks.ai Lab), а також Ian de Marcellus

NSOpenPanel

Доступно для: macOS Ventura

Вплив: програма може читати довільні файли.

Опис: проблему з доступом усунено завдяки додатковим обмеженням ізольованого програмного середовища.

CVE-2023-42887: Ron Masas із BreakPoint.sh.

Power Manager

Доступно для: macOS Ventura

Вплив: програма може розкривати дані з пам’яті пошкодженого співпроцесора.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) зі STAR Labs SG Pte. Ltd.

WebKit

Доступно для: macOS Ventura

Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду. Компанії Apple відомо, що цією проблемою могли користуватися.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.

CVE-2024-23222