Відомості про проблеми системи безпеки, які усунено в оновленні macOS Ventura 13.7.3

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Ventura 13.7.3.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Ventura 13.7.3

AppleMobileFileIntegrity

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему зі зниженням рівня вирішено за допомогою додаткових обмежень підписування коду.

CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)

AppleMobileFileIntegrity

Доступно для: macOS Ventura

Вплив: програма може отримати доступ до інформації про контакти користувача.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2025-24100: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Доступно для: macOS Ventura

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-24114: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Доступно для: macOS Ventura

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-24121: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Доступно для: macOS Ventura

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему зі зниженням рівня, що впливає на комп’ютери Mac із процесорами Intel, вирішено за допомогою додаткових обмежень підписування коду.

CVE-2025-24122: Mickey Jin (@patch1t)

ARKit

Доступно для: macOS Ventura

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu та Xingwei Lin із Zhejiang University

Audio

Доступно для: macOS Ventura

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24106: Wang Yu з Cyberserval

Contacts

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до контактів.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2024-44172: Kirin (@Pwnrin)

CoreMedia

Доступно для: macOS Ventura

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24123: Desmond у співпраці з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

CVE-2025-24124: Pwn2car & Rotiple(HyeongSeok Jang) у співпраці з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

CoreRoutine

Доступно для: macOS Ventura

Вплив: програма може визначити поточне розташування користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24102: Kirin (@Pwnrin)

iCloud Photo Library

Доступно для: macOS Ventura

Вплив: програма може обходити параметри приватності.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24174: Arsenii Kostromin (0x3c3e), Joshua Jones

ImageIO

Доступно для: macOS Ventura

Вплив: обробка зображення може призвести до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24086: DongJun Kim (@smlijun) і JongSeong Kim (@nevul37) в Enki WhiteHat, D4m0n

LaunchServices

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2025-24094: анонімний дослідник

LaunchServices

Доступно для: macOS Ventura

Вплив: програма може читати файли за межами ізольованого середовища.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.

CVE-2025-24115: анонімний дослідник

LaunchServices

Доступно для: macOS Ventura

Вплив: програма може обходити параметри приватності.

Опис: проблему з доступом усунено завдяки додатковим обмеженням ізольованого програмного середовища.

CVE-2025-24116: анонімний дослідник

Login Window

Доступно для: macOS Ventura

Вплив: шкідлива програма може створювати символьні посилання на захищені області диска.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-24136: 云散

PackageKit

Доступно для: macOS Ventura

Вплив: локальний зловмисник може підвищувати рівень привілеїв.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24099: Mickey Jin (@patch1t)

PackageKit

Доступно для: macOS Ventura

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)

Photos Storage

Доступно для: macOS Ventura

Вплив: видалення розмови в Повідомленнях може відкрити контактну інформацію користувача в журналі системи.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2025-24146: 神罚(@Pwnrin)

QuartzCore

Доступно для: macOS Ventura

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54497: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Sandbox

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до знімних томів без дозволу користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)

SceneKit

Доступно для: macOS Ventura

Вплив: аналіз файлу може призводити до розкриття інформації про користувача.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-24149: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Security

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-24103: Zhongquan Li (@Guluisacat)

sips

Доступно для: macOS Ventura

Вплив: аналіз шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24139: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

SMB

Доступно для: macOS Ventura

Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24151: анонімний дослідник

Spotlight

Доступно для: macOS Ventura

Вплив: шкідлива програма може ініціювати витік конфіденційної інформації про користувача.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) із Lupus Nova

StorageKit

Доступно для: macOS Ventura

Вплив: локальний зловмисник може підвищувати рівень привілеїв.

Опис: проблему з дозволами вирішено завдяки вдосконаленню перевірки.

CVE-2025-24176: Yann Gascuel з Alter Solutions

WebContentFilter

Доступно для: macOS Ventura

Вплив: зловмисник може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-24154: анонімний дослідник

WindowServer

Доступно для: macOS Ventura

Вплив: зловмисник може спричиняти несподіване завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню керування життєвим циклом об’єктів.

CVE-2025-24120: PixiePoint Security

Xsan

Доступно для: macOS Ventura

Вплив: програма може підвищувати рівень привілеїв.

Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-24156: анонімний дослідник

Додаткова подяка

sips

Дякуємо за допомогу користувачу Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative».

Static Linker

Дякуємо за допомогу Holger Fuhrmannek.