Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
macOS Ventura 13.2
Udgivet 23. januar 2023
AppleMobileFileIntegrity
Fås til: macOS Ventura
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet er løst ved hjælp af forbedret kontrol for at forhindre uautoriserede handlinger i at blive udført.
CVE-2023-32438: Csaba Fitzl (@theevilbit) fra Offensive Security og Mickey Jin (@patch1t)
Post tilføjet 5. september 2023
AppleMobileFileIntegrity
Fås til: macOS Ventura
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Dette problem blev løst ved at aktivere hardened runtime.
CVE-2023-23499: Wojciech Reguła (@_r3ggi) fra SecuRing (wojciechregula.blog)
Crash Reporter
Fås til: macOS Ventura
Effekt: En bruger kan muligvis læse vilkårlige arkiver som rod
Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.
CVE-2023-23520: Cees Elzinga
Post tilføjet 20. februar 2023
curl
Fås til: macOS Ventura
Effekt: Flere sikkerhedsproblemer i curl
Beskrivelse: Flere problemer blev løst ved at opdatere til curl version 7.86.0.
CVE-2022-42915
CVE-2022-42916
CVE-2022-32221
CVE-2022-35260
dcerpc
Fås til: macOS Ventura
Effekt: Åbning af en skadelig Samba-netværksmappe kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.
CVE-2023-23539: Aleksandar Nikolic og Dimitrios Tatsis fra Cisco Talos
CVE-2023-23513: Dimitrios Tatsis og Aleksandar Nikolic fra Cisco Talos
Post opdateret 1. maj 2023
DiskArbitration
Fås til: macOS Ventura
Effekt: Et krypteret drev kan gøres passivt og aktiveres af en anden bruger, uden at man bliver bedt om at indtaste adgangskoden
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-23493: Oliver Norpoth (@norpoth) fra KLIXX GmbH (klixx.com)
FontParser
Fås til: macOS Ventura
Effekt: Behandling af et skriftarkiv kan medføre kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet i tidligere versioner af iOS fra før iOS 15.7.1.
Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.
CVE-2023-41990: Apple
Post tilføjet 08. september 2023
Foundation
Fås til: macOS Ventura
Effekt: En app kan muligvis køre vilkårlig kode fra sin sandbox eller med bestemte hævede rettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-23530: Austin Emmitt (@alkalinesec), Senior Security Researcher fra Trellix Advanced Research Center
Post tilføjet 20. februar 2023, opdateret 01. maj 2023
Foundation
Fås til: macOS Ventura
Effekt: En app kan muligvis køre vilkårlig kode fra sin sandbox eller med bestemte hævede rettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-23531: Austin Emmitt (@alkalinesec), Senior Security Researcher fra Trellix Advanced Research Center
Post tilføjet 20. februar 2023, opdateret 01. maj 2023
ImageIO
Fås til: macOS Ventura
Effekt: Behandling af et billede kan føre til DoS-angreb
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2023-23519: Meysam Firouzi @R00tkitSMM fra Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) og jzhu, der arbejder med Trend Micros Zero Day Initiative
Post opdateret 5. september 2023
Intel Graphics Driver
Fås til: macOS Ventura
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.
CVE-2023-23507: En anonym programmør
Kernel
Fås til: macOS Ventura
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-23516: Jordy Zomer (@pwningsystems)
Post tilføjet 1. maj 2023
Kernel
Fås til: macOS Ventura
Effekt: En app kan forårsage, at der lækkes en følsom kernestatus
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Fås til: macOS Ventura
Effekt: En app kan muligvis fastslå opsætningen af kernehukommelsen
Beskrivelse: Et problem med afsløring af oplysninger er løst ved at fjerne den sårbare kode.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Fås til: macOS Ventura
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-23504: Adam Doupé fra ASU SEFCOM
libxpc
Fås til: macOS Ventura
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et tilladelsesproblem er løst via forbedret godkendelse.
CVE-2023-23506: Guilherme Rambo fra Best Buddy Apps (rambo.codes)
Mail Drafts
Fås til: macOS Ventura
Effekt: Den oplyste oprindelige meddelelse kan være valgt fra den forkerte mail, når du videresender en mail fra en Exchange-konto
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-23498: Jose Lizandro Luevano
Post opdateret 1. maj 2023
Maps
Fås til: macOS Ventura
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-23503: En anonym programmør
Messages
Fås til: macOS Ventura
Effekt: En bruger kan sende en sms fra et sekundært eSIM, på trods af at en kontakt er indstillet til at bruge et primært eSIM
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-28208: freshman
Post tilføjet 5. september 2023
PackageKit
Fås til: macOS Ventura
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-23497: Mickey Jin (@patch1t)
Safari
Fås til: macOS Ventura
Effekt: En app kan muligvis få adgang til en brugers historik i Safari
Beskrivelse: Et tilladelsesproblem er løst via forbedret godkendelse.
CVE-2023-23510: Guilherme Rambo fra Best Buddy Apps (rambo.codes)
Safari
Fås til: macOS Ventura
Effekt: Besøg på et website kan føre til en denial-of-service for appen
Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.
CVE-2023-23512: Adriatik Raci
Screen Time
Fås til: macOS Ventura
Effekt: En app kan muligvis få adgang til oplysninger om en brugers kontakter
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-23505: Wojciech Reguła fra SecuRing (wojciechregula.blog) og Csaba Fitzl (@theevilbit) fra Offensive Security
Post opdateret 1. maj 2023
Vim
Fås til: macOS Ventura
Effekt: Flere problemer i Vim
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-3705
Weather
Fås til: macOS Ventura
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-23511: Wojciech Regula fra SecuRing (wojciechregula.blog) og en anonym programmør
WebKit
Fås til: macOS Ventura
Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Post tilføjet 28. juni 2023
WebKit
Fås til: macOS Ventura
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren og Hang Shu fra Institute of Computing Technology, Chinese Academy of Sciences
WebKit
Fås til: macOS Ventura
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) fra Team ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) fra Team ApplePIE
Wi-Fi
Fås til: macOS Ventura
Effekt: En app kan muligvis afsløre kernehukommelsen.
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering
CVE-2023-23501: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd. (@starlabs_sg)
Windows Installer
Fås til: macOS Ventura
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed.
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-23508: Mickey Jin (@patch1t)
WebKit
Fås til: macOS Ventura
Effekt: Et HTML-dokument kan muligvis gengive iframes med følsomme brugeroplysninger
Beskrivelse: Problemet blev løst ved forbedret sandbox-håndhævelse for iframe.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Post tilføjet 1. maj 2023
Yderligere anerkendelser
AppleMobileFileIntegrity
Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjælpen.
Post tilføjet 1. maj 2023
Bluetooth
Vi vil gerne takke en anonym programmør for hjælpen.
Core Data
Vi vil gerne takke Austin Emmitt (@alkalinesec), Senior Security Researcher fra Trellix Advanced Research Center, for hjælpen.
Post tilføjet 08. september 2023
Kernel
Vi vil gerne takke Nick Stenning fra Replicate for hjælpen.
Shortcuts
Vi vil gerne takke Baibhav Anand Jha fra ReconWithMe og Cristian Dinca fra Tudor Vianu National High School of Computer Science, Rumænien for hjælpen.
WebKit
Vi vil gerne takke Eliya Stein fra Confiant for hjælpen.