Informace o bezpečnostním obsahu macOS Sonoma 14

Tento dokument popisuje bezpečnostní obsah macOS Sonoma 14.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

macOS Sonoma 14

Vydáno 26. září 2023

Airport

K dispozici pro: Mac Studio (2022 a novější), iMac (2019 a novější), Mac Pro (2019 a novější), Mac mini (2018 a novější), MacBook Air (2018 a novější), MacBook Pro (2018 a novější) a iMac Pro (2017)

Dopad: Aplikaci se může podařit číst citlivé polohové informace.

Popis: Problém s oprávněními byl vyřešen vylepšením mazání citlivých údajů.

CVE-2023-40384: Adam M.

AMD

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.

CVE-2023-32377: ABC Research s.r.o.

AMD

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-38615: ABC Research s.r.o.

AppSandbox

Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-42929: Mickey Jin (@patch1t)

Záznam přidán 22. prosince 2023

App Store

Dopad: Vzdálenému útočníkovi se může podařit dostat se ze sandboxu webového obsahu.

Popis: Problém byl vyřešen vylepšením zpracování protokolů.

CVE-2023-40448: w0wbox

AppleMobileFileIntegrity

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen dalšími kontrolami oprávnění.

CVE-2023-42872: Mickey Jin (@patch1t)

Záznam přidán 22. prosince 2023

Apple Neural Engine

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Záznam aktualizován 22. prosince 2023

Apple Neural Engine

Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2023-40410: Tim Michaud (@TimGMichaud) z týmu Moveworks.ai

Ask to Buy

Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-38612: Chris Ross (Zoom)

Záznam přidán 22. prosince 2023

AuthKit

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.

CVE-2023-32361: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security

Bluetooth

Dopad: Útočník ve fyzické blízkosti může způsobit omezený zápis mimo rozsah.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-35984: zer0k

Bluetooth

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Dopad: Aplikaci se může podařit obejít určité předvolby soukromí.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Dopad: Zpracování souboru může vést k odmítnutí služby nebo k potenciálnímu odhalení obsahu paměti.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

Záznam přidán 22. prosince 2023

bootp

Dopad: Aplikaci se může podařit číst citlivé polohové informace.

Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.

CVE-2023-41065: Adam M., Noah Roskin-Frazee a profesor Jason Lau (ZeroClicks.ai Lab)

Calendar

Dopad: Aplikace může získat přístup k datům kalendáře uloženým v dočasném adresáři.

Popis: Problém se soukromím byl vyřešen lepším zpracováváním dočasných souborů.

CVE-2023-29497: Kirin (@Pwnrin) a Yishu Wang

CFNetwork

Dopad: Aplikaci se nemusí podařit vynutit zabezpečení ATS (App Transport Security).

Popis: Problém byl vyřešen vylepšením zpracování protokolů.

CVE-2023-38596: Will Brattain ze společnosti Trail of Bits

ColorSync

Dopad: Aplikaci se může podařit číst libovolné soubory.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-40406: JeongOhKyea ze společnosti Theori

CoreAnimation

Dopad: Zpracování webového obsahu může vést k odepření služby.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-40420: 이준성 (Junsung Lee) ze společnosti Cross Republic

Core Data

Dopad: Aplikaci se může podařit obejít předvolby soukromí.

Popis: Problém byl vyřešen odebráním zranitelného kódu.

CVE-2023-40528: Kirin (@Pwnrin) ze společnosti NorthSea

Záznam přidán 22. ledna 2024

Core Image

Dopad: Aplikace může získat přístup k upraveným fotkám uloženým v dočasném adresáři.

Popis: Problém byl vyřešen lepším zpracováváním dočasných souborů.

CVE-2023-40438: Wojciech Reguła z týmu SecuRing (wojciechregula.blog)

Záznam přidán 22. prosince 2023

CoreMedia

Dopad: Rozšíření fotoaparátu může získat přístup k zobrazení fotoaparátu i z aplikací, pro které mu nebylo uděleno oprávnění.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2023-41994: Halle Winkler, Politepix @hallewinkler

Záznam přidán 22. prosince 2023

CUPS

Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2023-40407: Sei K.

Dev Tools

Dopad: Aplikaci se může podařit navýšit si oprávnění.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

Záznam aktualizován 22. prosince 2023

FileProvider

Dopad: Aplikaci se může podařit obejít předvolby soukromí.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2023-41980: Noah Roskin-Frazee a profesor Jason Lau (ZeroClicks.ai Lab)

FileProvider

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením ochrany dat.

CVE-2023-40411: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab) a Csaba Fitzl (@theevilbit) z Offensive Security

Záznam přidán 22. prosince 2023

Game Center

Dopad: Aplikaci se může podařit číst kontakty.

Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.

CVE-2023-40395: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security

GPU Drivers

Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-40391: Antonio Zekic (@antoniozekic) ze společnosti Dataflow Security

GPU Drivers

Dopad: Zpracování webového obsahu může vést k odepření služby.

Popis: Problém s vyčerpáním zdrojů byl vyřešen vylepšením ověřování vstupů.

CVE-2023-40441: Ron Masas ze společnosti Imperva

iCloud

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s oprávněními byl vyřešen vylepšením mazání citlivých údajů.

CVE-2023-23495: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security

iCloud Photo Library

Dopad: Aplikace může získat přístup ke knihovně Fotek uživatele.

Popis: Problém s konfigurací byl vyřešen přidáním dalších omezení.

CVE-2023-40434: Mikko Kenttälä (@Turmio_) ze společnosti SensorFu

Image Capture

Dopad: Procesu běžícímu v sandboxu se může podařit obejít omezení sandboxu.

Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení systému nebo číst paměť jádra.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2023-40436: Murray Mike

Kernel

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2023-41995: Tým Certik Skyfall a pattern-f (@pattern_F_) z laboratoře Ant Security Light-Year Lab

CVE-2023-42870: Zweig z týmu Kunlun Lab

Záznam aktualizován 22. prosince 2023

Kernel

Dopad: Útočník, kterému se podařilo spustit kód jádra, může obejít ochranu paměti jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-41981: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)

Kernel

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd.

Kernel

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s oprávněními byl vyřešen vylepšením ověřování.

CVE-2023-40429: Michael (Biscuit) Thomas a 张师傅 (@京东蓝军)

Kernel

Dopad: Vzdálenému uživateli se může podařit spustit kód na úrovni jádra.

Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) z týmu MIT CSAIL

Záznam přidán 22. prosince 2023

LaunchServices

Dopad: Aplikace může obejít kontroly Gatekeepera.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo) ze společnosti Jamf Software a anonymní výzkumník

libpcap

Dopad: Vzdálený uživatel může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2023-40400: Sei K.

libxpc

Dopad: Aplikace může být schopna odstranit soubory, pro které nemá oprávnění.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2023-40454: Zhipeng Huo (@R3dF09) z týmu Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2023-41073: Zhipeng Huo (@R3dF09) z týmu Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Dopad: Zpracování webového obsahu může vést k odhalení citlivých informací.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) z týmu PK Security

Maps

Dopad: Aplikaci se může podařit číst citlivé polohové informace.

Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.

CVE-2023-40427: Adam M. a Wojciech Regula ze společnosti SecuRing (wojciechregula.blog)

Messages

Dopad: Aplikaci se může podařit pozorovat nechráněná uživatelská data.

Popis: Problém se soukromím byl vyřešen lepším zpracováváním dočasných souborů.

CVE-2023-32421: Meng Zhang (鲸落) ze společnosti NorthSea, Ron Masas ze společnosti BreakPoint Security Research, Brian McNulty a Kishan Bagaria ze společnosti Texts.com

Model I/O

Dopad: Zpracování souboru může vést ke spuštění libovolného kódu.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-42826: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro

Záznam přidán 19. října 2023

Music

Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Dopad: Procesu běžícímu v sandboxu se může podařit obejít omezení sandboxu.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2023-40455: Zhipeng Huo (@R3dF09) z týmu Tencent Security Xuanwu Lab (xlab.tencent.com)

Notes

Dopad: Aplikaci se může podařit získat přístup k přílohám Poznámek.

Popis: Problém se soukromím byl vyřešen lepším zpracováváním dočasných souborů.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Dopad: Ve vzdáleném předávání OpenSSHs bylo zjištěno ohrožení zabezpečení.

Popis: Problém byl vyřešen aktualizací OpenSSH na verzi 9.3p2.

CVE-2023-38408: baba yaga, anonymní výzkumník

Záznam přidán 22. prosince 2023

Passkeys

Dopad: Útočník může být schopen přistupovat k přístupovým klíčům bez ověření.

Popis: Problém byl vyřešen dalšími kontrolami oprávnění.

CVE-2023-40401: weize she a anonymní výzkumník

Záznam přidán 22. prosince 2023

Photos

Dopad: Fotografie ve skrytém albu aplikace Fotky jde zobrazit bez ověření.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2023-40393: anonymní výzkumník, Berke Kırbaş a Harsh Jaiswal

Záznam přidán 22. prosince 2023

Photos Storage

Dopad: Aplikaci s kořenovými oprávněními se může podařit získat přístup k soukromým informacím.

Popis: Problém s odhalením informací byl vyřešen odstraněním škodlivého kódu.

CVE-2023-42934: Wojciech Reguła z týmu SecuRing (wojciechregula.blog)

Záznam přidán 22. prosince 2023

Power Management

Dopad: Uživateli se může podařit zobrazit omezený obsah na zamčené obrazovce.

Popis: Problém se zamčenou obrazovkou byl vyřešen vylepšením správy stavu.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi z George Mason University a Billy Tabrizi

Záznam aktualizován 22. prosince 2023

Printing

Dopad: Aplikaci se může podařit změnit nastavení tiskárny.

Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Záznam přidán 22. prosince 2023

Printing

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2023-41987: Kirin (@Pwnrin) a Wojciech Regula z týmu SecuRing (wojciechregula.blog)

Záznam přidán 22. prosince 2023

Pro Res

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-41063: Tým Certik Skyfall

QuartzCore

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-40422: Tomi Tokics (@tomitokics) z týmu iTomsn0w

Safari

Dopad: Zpracování webového obsahu může vést k odhalení citlivých informací.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Dopad: Safari může ukládat fotky do nechráněného umístění.

Popis: Problém se soukromím byl vyřešen lepším zpracováváním dočasných souborů.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Dopad: Aplikaci se může podařit zjistit, jaké další aplikace má uživatel nainstalované.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-35990: Adriatik Raci z týmu Sentry Cybersecurity

Safari

Dopad: Návštěva webové stránky se škodlivým obsahem může vést k podvržení uživatelského rozhraní.

Popis: Problém se správou oken byl vyřešen vylepšením správy stavu.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) ze společnosti Suma Soft Pvt. Ltd, Pune (Indie)

Záznam aktualizován 22. prosince 2023

Sandbox

Dopad: Aplikaci se může podařit přepisovat libovolné soubory.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Dopad: Aplikaci se může podařit získat přístup k vyjmutelným svazkům bez souhlasu uživatele.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Záznam přidán 22. prosince 2023

Sandbox

Dopad: Aplikaci, která neprojde ověřovací kontrolou, se přesto může podařit spuštění.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-41996: Mickey Jin (@patch1t) a Yiğit Can YILMAZ (@yilmazcanyigit)

Záznam přidán 22. prosince 2023

Screen Sharing

Dopad: Aplikaci se může podařit obejít určité předvolby soukromí.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2023-41078: Zhipeng Huo (@R3dF09) z týmu Tencent Security Xuanwu Lab (xlab.tencent.com)

Share Sheet

Dopad: Aplikaci se může podařit získat přístup k citlivým údajům zaznamenaným, když uživatel sdílí obsah.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Dopad: Výstupem zástupce mohou být citlivé údaje uživatele bez souhlasu.

Popis: Tento problém byl vyřešen přidáním další výzvy pro souhlas uživatele.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) a James Duffy (mangoSecure)

Shortcuts

Dopad: Aplikaci se může podařit obejít předvolby soukromí.

Popis: Problém byl vyřešen vylepšením logiky oprávnění.

CVE-2023-41079: Ron Masas z týmu BreakPoint.sh a anonymní výzkumník

Spotlight

Dopad: Aplikaci se může podařit získat kořenová oprávnění.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

Záznam přidán 22. prosince 2023

StorageKit

Dopad: Aplikaci se může podařit číst libovolné soubory.

Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.

CVE-2023-41968: Mickey Jin (@patch1t) a James Hutchins

System Preferences

Dopad: Aplikace může obejít kontroly Gatekeepera.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-40450: Thijs Alkemade (@xnyhps) ze skupiny Sector 7 společnosti Computest

TCC

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) a Csaba Fitzl (@theevilbit) z týmu Offensive Security

WebKit

Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) a Dohyun Lee (@l33d0hyun) z týmu PK Security

WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)

Záznam aktualizován 22. prosince 2023

WebKit

Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.

Popis: Problém byl vyřešen vylepšením kontroly.

WebKit Bugzilla: 256551
CVE-2023-41074: 이준성 (Junsung Lee) z Cross Republic a Jie Ding (@Lime) z týmu HKUS3 Lab

Záznam aktualizován 22. prosince 2023

WebKit

Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim (@smlijun) a Jong Seong Kim (@nevul37)

Záznam aktualizován 22. prosince 2023

WebKit

Dopad: Zpracování webového obsahu může vést ke spuštění libovolného kódu. Apple má informace o tom, že tento problém mohl být aktivně zneužit ve verzích iOS vydaných před iOS 16.7.

Popis: Problém byl vyřešen vylepšením kontroly.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak z týmu The Citizen Lab z Munkovy fakulty Torontské univerzity a Maddie Stone z týmu Google Threat Analysis Group

WebKit

Dopad: Heslo uživatele může být přečteno nahlas pomocí VoiceOveru.

Popis: Problém byl vyřešen vylepšením mazání citlivých údajů.

WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston

Záznam přidán 22. prosince 2023

WebKit

Dopad: Vzdálenému útočníkovi se může podařit zobrazit uniklé dotazy DNS, pokud je zapnutý Soukromý přenos.

Popis: Problém byl vyřešen odebráním zranitelného kódu.

WebKit Bugzilla: 257303
CVE-2023-40385: anonym

Záznam přidán 22. prosince 2023

WebKit

Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.

Popis: Problém se správností byl vyřešen vylepšením kontrol.

WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) a Jong Seong Kim (@nevul37) z AbyssLab

Záznam přidán 22. prosince 2023

Wi-Fi

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.

Popis: Problém s poškozením paměti byl vyřešen odstraněním zranitelného kódu.

CVE-2023-38610: Wang Yu z Cyberservalu

Záznam přidán 22. prosince 2023

Windows Server

Dopad: Aplikaci se může podařit neočekávaně vyzradit pověřovací údaje uživatele ze zabezpečených textových polí.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2023-41066: Anonymní výzkumník, Jeremy Legendre z týmu MacEnhance a Felix Kratz

Záznam aktualizován 22. prosince 2023

XProtectFramework

Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.

Popis: Problém se souběhem byl vyřešen vylepšením zamykání.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Další poděkování

Airport

Poděkování za pomoc zaslouží Adam M., Noah Roskin-Frazee a profesor Jason Lau (ZeroClicks.ai Lab).

AppKit

Poděkování za pomoc zaslouží anonymní výzkumník.

Apple Neural Engine

Poděkování za pomoc zaslouží pattern-f (@pattern_F_) z týmu Ant Security Light-Year Lab.

Záznam přidán 22. prosince 2023

AppSandbox

Poděkování za pomoc zaslouží Kirin (@Pwnrin).

Archive Utility

Poděkování za pomoc zaslouží Mickey Jin (@patch1t).

Audio

Poděkování za pomoc zaslouží Mickey Jin (@patch1t).

Bluetooth

Poděkování za pomoc zaslouží Jianjun Dai a Guang Gong z týmu 360 Vulnerability Research Institute.

Books

Poděkování za pomoc zaslouží Aapo Oksman z týmu Nixu Cybersecurity.

Záznam přidán 22. prosince 2023

Control Center

Poděkování za pomoc zaslouží Yiğit Can YILMAZ (@yilmazcanyigit).

Záznam přidán 22. prosince 2023

Core Location

Poděkování za pomoc zaslouží Wouter Hennen.

CoreMedia Playback

Poděkování za pomoc zaslouží Mickey Jin (@patch1t).

CoreServices

Poděkování za pomoc zaslouží Thijs Alkemade ze společnosti Computest Sector 7, Wojciech Reguła (@_r3ggi) ze SecuRing a anonymní výzkumník.

Záznam přidán 22. prosince 2023

Data Detectors UI

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal.

Find My

Poděkování za pomoc zaslouží Cher Scarlett.

Home

Poděkování za pomoc zaslouží Jake Derouin (jakederouin.com).

IOGraphics

Poděkování za pomoc zaslouží anonymní výzkumník.

IOUserEthernet

Poděkování za pomoc zaslouží tým Certik Skyfall.

Záznam přidán 22. prosince 2023

Kernel

Poděkování za pomoc zaslouží Bill Marczak z týmu The Citizen Lab z Munkovy fakulty Torontské univerzity a Maddie Stone z týmu Google Threat Analysis Group, Xinru Chi z týmu Pangu Lab a 永超王.

libxml2

Poděkování za pomoc zaslouží OSS-Fuzz a Ned Williamson z týmu Google Project Zero.

libxpc

Poděkování za pomoc zaslouží anonymní výzkumník.

libxslt

Poděkování za pomoc zaslouží Dohyun Lee (@l33d0hyun) z týmu PK Security, OSS-Fuzz a Ned Williamson z týmu Google Project Zero.

Mail

Poděkování za pomoc zaslouží Taavi Eomäe ze společnosti Zone Media OÜ.

Záznam přidán 22. prosince 2023

Menus

Poděkování za pomoc zaslouží Matthew Denton z týmu Google Chrome Security.

Záznam přidán 22. prosince 2023

Model I/O

Poděkování za pomoc zaslouží Mickey Jin (@patch1t).

NSURL

Poděkování za pomoc zaslouží Zhanpeng Zhao (行之) a 糖豆爸爸 (@晴天组织).

PackageKit

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) z týmu Offensive Security a anonymní výzkumník.

Photos

Poděkování za pomoc zaslouží Anatolii Kozlov, Dawid Pałuska, Kirin (@Pwnrin), Lyndon Cornelius a Paul Lurin.

Power Services

Poděkování za pomoc zaslouží Mickey Jin (@patch1t).

Záznam přidán 22. prosince 2023

Reminders

Poděkování za pomoc zaslouží Paweł Szafirowski.

Safari

Poděkování za pomoc zaslouží Kang Ali z týmu Punggawa Cyber Security.

Sandbox

Poděkování za pomoc zaslouží Yiğit Can YILMAZ (@yilmazcanyigit).

SharedFileList

Poděkování za pomoc zaslouží Christopher Lopez – @L0Psec a Kandji, Leo Pitt z týmu Zoom Video Communications, Masahiro Kawada (@kawakatz) z GMO Cybersecurity společnosti Ierae a Ross Bingham (@PwnDexter).

Záznam aktualizován 22. prosince 2023

Shortcuts

Poděkování za pomoc zaslouží Alfie CG, Christian Basting z týmu Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca ze Střední školy informatiky Tudora Vianu v Rumunsku, Giorgos Christodoulidis, Jubaer Alnazi z TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) a Matthew Butler.

Záznam aktualizován 24. dubna 2024

Software Update

Poděkování za pomoc zaslouží Omar Siman.

Spotlight

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal a Dawid Pałuska.

StorageKit

Poděkování za pomoc zaslouží Mickey Jin (@patch1t).

Video Apps

Poděkování za pomoc si zaslouží James Duffy (mangoSecure).

WebKit

Poděkování za pomoc zaslouží Khiem Tran, Narendra Bhati ze společnosti Suma Soft Pvt. Ltd, Pune (Indie) a anonymní výzkumník.

WebRTC

Poděkování za pomoc zaslouží anonymní výzkumník.

Wi-Fi

Poděkování za pomoc zaslouží Adam M. a Wang Yu z týmu Cyberserval.

Záznam aktualizován 22. prosince 2023

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: 29. dubna 2024