Om sikkerhedsindholdet i macOS Ventura 13.6.7

I dette dokument beskrives sikkerhedsindholdet i macOS Ventura 13.6.7.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Ventura 13.6.7

Core Data

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved forbedret godkendelse af miljøvariabler.

CVE-2024-27805: Kirin (@Pwnrin) og 小来来 (@Smi1eSEC)

CoreMedia

Fås til: macOS Ventura

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27817: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab

CoreMedia

Fås til: macOS Ventura

Effekt: Behandling af et arkiv kan føre til uventet appafslutning eller kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2024-27831: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

Finder

Fås til: macOS Ventura

Effekt: En app kan muligvis læse vilkårlige arkiver

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-27827: en anonym programmør

Foundation

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2024-27789: Mickey Jin (@patch1t)

IOHIDFamily

Fås til: macOS Ventura

Effekt: En app uden privilegier kan muligvis indsamle tasteanslag i andre apps, herunder dem, der bruger sikker inputtilstand

Beskrivelse: Problemet er løst via ekstra rettighedskontroller.

CVE-2024-27799: en anonym programmør

Kernel

Fås til: macOS Ventura

Effekt: En hacker, der allerede har opnået kørsel af kernekode, kan muligvis være i stand til at omgå beskyttelse af kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-27840: en anonym programmør

Kernel

Fås til: macOS Ventura

Effekt: En hacker i en privilegeret netværksposition kan muligvis efterligne netværkspakker

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2024-27823: Prof. Benny Pinkas fra Bar-Ilan University, prof. Amit Klein fra Hebrew University og EP

Login Window

Fås til: macOS Ventura

Effekt: En hacker med viden om en standardbrugers loginoplysninger kan låse op for en anden standardbrugers låste skærm på den samme Mac

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2023-42861: en anonym programmør, 凯 王, Steven Maser, Matthew McLean, Brandon Chesser, CPU IT, inc og Avalon IT Team fra Concentrix

Maps

Fås til: macOS Ventura

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2024-27810: LFY@secsys fra Fudan University

Messages

Fås til: macOS Ventura

Effekt: Behandling af en besked med skadeligt indhold kan medføre et DoS-angreb

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2024-27800: Daniel Zajork og Joshua Zajork

Metal

Fås til: macOS Ventura

Effekt: Behandling af et skadeligt arkiv kan føre til uventet appafslutning eller kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm), der arbejder med Trend Micros Zero Day Initiative

PackageKit

Fås til: macOS Ventura

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Problemet er løst via forbedret godkendelse af symbolske links.

CVE-2024-27885: Mickey Jin (@patch1t)

PackageKit

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)

RTKit

Fås til: macOS Ventura

Effekt: En hacker med vilkårlig mulighed for at læse fra og skrive til kernen kan muligvis omgå kernehukommelsesbeskyttelser. Apple er opmærksom på, at dette problem kan være blevet udnyttet.

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2024-23296

SharedFileList

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-27843: Mickey Jin (@patch1t)

Shortcuts

Fås til: macOS Ventura

Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27855: en anonym programmør

Spotlight

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet blev løst ved forbedret rensning af miljøet.

CVE-2024-27806

StorageKit

Fås til: macOS Ventura

Effekt: En bruger kan muligvis opnå flere rettigheder

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2024-27798: Yann GASCUEL fra Alter Solutions

Sync Services

Fås til: macOS Ventura

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst ved forbedret kontrol

CVE-2024-27847: Mickey Jin (@patch1t)

Voice Control

Fås til: macOS Ventura

Effekt: En bruger kan muligvis opnå flere rettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27796: ajajfxhj

Yderligere anerkendelser

App Store

Vi vil gerne takke en anonym programmør for hjælpen.