Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
macOS Ventura 13.4
Udgivet 18. maj 2023
Accessibility
Fås til: macOS Ventura
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
Fås til: macOS Ventura
Effekt: Rettigheder og fortrolighedstilladelser, der gives til denne app, kan bruges af ondsindede apps
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
Fås til: macOS Ventura
Effekt: En hacker vil muligvis kunne lække e-mails på brugerkonti
Beskrivelse: Et problem med tilladelser blev løst med forbedret redigering af følsomme oplysninger.
CVE-2023-34352: Sergii Kryvoblotskyi fra MacPaw Inc.
Post tilføjet 5. september 2023
AMD
Fås til: macOS Ventura
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.
CVE-2023-32379: ABC Research s.r.o.
Post tilføjet 5. september 2023
AppleMobileFileIntegrity
Fås til: macOS Ventura
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet er løst ved forbedret godkendelse.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Fås til: macOS Ventura
Effekt: En app kan muligvis injicere kode i følsomme binære arkiver, der leveres med Xcode
Beskrivelse: Dette problem blev løst ved at gennemtvinge et mere robust kørselstidspunkt for de berørte binære arkiver på systemniveau.
CVE-2023-32383: James Duffy (mangoSecure)
Post tilføjet 21. december 2023
Tilknyttede domæner
Fås til: macOS Ventura
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-32371: James Duffy (mangoSecure)
Contacts
Fås til: macOS Ventura
Effekt: En app kan observere ubeskyttede brugerdata
Beskrivelse: Et fortrolighedsproblem blev løst med forbedret håndtering af midlertidige arkiver.
CVE-2023-32386: Kirin (@Pwnrin)
Core Location
Fås til: macOS Ventura
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.
CVE-2023-32399: Adam M.
Post opdateret 5. september 2023
CoreServices
Fås til: macOS Ventura
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet blev løst med forbedret redigering af følsomme oplysninger.
CVE-2023-28191: Mickey Jin (@patch1t)
CUPS
Fås til: macOS Ventura
Effekt: En ikke-godkendt bruger kan muligvis få adgang til dokumenter, der er udskrevet for nylig
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2023-32360: Gerhard Muth
dcerpc
Fås til: macOS Ventura
Effekt: En ekstern angriber kan muligvis forårsage pludselig applukning eller kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2023-32387: Dimitrios Tatsis fra Cisco Talos
DesktopServices
Fås til: macOS Ventura
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-32414: Mickey Jin (@patch1t)
Face Gallery
Fås til: macOS Ventura
Effekt: En hacker med fysisk adgang til et låst Apple Watch kan muligvis se brugerbilleder eller kontakter via tilgængelighedsfunktioner
Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.
CVE-2023-32417: Zitong Wu (吴梓桐) fra Zhuhai No.1 High School (珠海市第一中学)
Post tilføjet 5. september 2023
GeoServices
Fås til: macOS Ventura
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-32392: Adam M.
Post opdateret 5. september 2023
ImageIO
Fås til: macOS Ventura
Effekt: Behandling af et billede kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-32372: Meysam Firouzi @R00tkitSMM fra Mbition Mercedes-Benz Innovation Lab i samarbejde med Trend Micro Zero Day Initiative
Post opdateret 5. september 2023
ImageIO
Fås til: macOS Ventura
Effekt: Behandling af et billede kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm, der arbejder med Trend Micro Zero Day Initiative
IOSurface
Fås til: macOS Ventura
Effekt: En app kan forårsage, at der lækkes en følsom kernestatus
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
IOSurfaceAccelerator
Fås til: macOS Ventura
Effekt: En app kan forårsage uventet systemlukning eller læsning af kernehukommelsen
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-32420: CertiK SkyFall Team og Linus Henze fra Pinauten GmbH (pinauten.de)
Post opdateret 5. september 2023
Kernel
Fås til: macOS Ventura
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.
CVE-2023-27930: 08Tc3wBB fra Jamf
Kernel
Fås til: macOS Ventura
Effekt: En sandbox-app kan muligvis observere netværksforbindelser i hele systemet
Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Fås til: macOS Ventura
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.
CVE-2023-32398: Adam Doupé fra ASU SEFCOM
Kernel
Fås til: macOS Ventura
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) fra Synacktiv (@Synacktiv), der arbejder med Trend Micros Zero Day Initiative
LaunchServices
Fås til: macOS Ventura
Effekt: En app kan omgå Gatekeeper-kontrollerne
Beskrivelse: Et logikproblem er løst ved forbedret kontrol.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) fra SecuRing (wojciechregula.blog)
libxml2
Fås til: macOS Ventura
Effekt: Flere problemer i libxml2
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2023-29469: OSS-Fuzz, Ned Williamson fra Google Project Zero
CVE-2023-42869: OSS-Fuzz, Ned Williamson fra Google Project Zero
Post tilføjet 21. december 2023
libxpc
Fås til: macOS Ventura
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-32369: Jonathan Bar Or fra Microsoft, Anurag Bohra fra Microsoft og Michael Pearse fra Microsoft
libxpc
Fås til: macOS Ventura
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: Et logikproblem er løst ved forbedret kontrol.
CVE-2023-32405: Thijs Alkemade (@xnyhps) fra Computest Sector 7
MallocStackLogging
Fås til: macOS Ventura
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: Problemet er løst ved forbedret filhåndtering.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Post tilføjet 5. september 2023
Metal
Fås til: macOS Ventura
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Fås til: macOS Ventura
Effekt: Behandling af en 3D-model kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-32368: Mickey Jin (@patch1t)
CVE-2023-32375: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative
CVE-2023-32382: Mickey Jin (@patch1t)
Model I/O
Fås til: macOS Ventura
Effekt: Behandling af en 3D-model kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Fås til: macOS Ventura
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Dette problem er løst med forbedret redigering af følsomme oplysninger.
CVE-2023-32403: Adam M.
Post opdateret 5. september 2023
NSURLSession
Fås til: macOS Ventura
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet er løst ved forbedringer af arkivhåndteringsprotokollen.
CVE-2023-32437: Thijs Alkemade fra Computest Sector 7
Post tilføjet 5. september 2023
PackageKit
Fås til: macOS Ventura
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-32355: Mickey Jin (@patch1t)
PDFKit
Fås til: macOS Ventura
Effekt: Åbning af et PDF-arkiv kan medføre uventet lukning af en app
Beskrivelse: Et problem med denial of service er løst via forbedret hukommelseshåndtering.
CVE-2023-32385: Jonathan Fritz
Perl
Fås til: macOS Ventura
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Photos
Fås til: macOS Ventura
Effekt: Billeder tilhørende Album med skjulte fotos kunne ses uden godkendelse gennem visuelt opslag
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-32390: Julian Szulc
Vis
Fås til: macOS Ventura
Effekt: Parsing af et Office-dokument kan muligvis medføre uventet applukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2023-32401: Holger Fuhrmannek fra Deutsche Telekom Security GmbH på vegne af BSI (German Federal Office for Information Security)
Post tilføjet 21. december 2023
Sandbox
Fås til: macOS Ventura
Effekt: En app kan bevare adgangen til systemkonfigurationsarkiver, efter at dens tilladelse er tilbagekaldt
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa fra FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) og Csaba Fitzl (@theevilbit) fra Offensive Security
Screen Saver
Fås til: macOS Ventura
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et problem med tilladelser blev løst ved at fjerne sårbar kode og tilføje yderligere kontrol.
CVE-2023-32363: Mickey Jin (@patch1t)
Security
Fås til: macOS Ventura
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet er løst ved forbedret godkendelse.
CVE-2023-32367: James Duffy (mangoSecure)
Share Sheet
Fås til: macOS Ventura
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et fortrolighedsproblem blev løst med forbedret håndtering af midlertidige arkiver.
CVE-2023-32432: Kirin (@Pwnrin)
Post tilføjet 5. september 2023
Shell
Fås til: macOS Ventura
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
Fås til: macOS Ventura
Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-32391: Wenchao Li og Xiaolong Bai fra Alibaba Group
Shortcuts
Fås til: macOS Ventura
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet er løst ved forbedret godkendelse.
CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com) og en anonym programmør
Siri
Fås til: macOS Ventura
Effekt: En person med fysisk adgang til en enhed kan muligvis se kontaktoplysninger fra låseskærmen
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-32394: Khiem Tran
SQLite
Fås til: macOS Ventura
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet blev løst ved at tilføje yderligere begrænsninger af SQLite-logføring.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) samt Wojciech Reguła fra SecuRing (wojciechregula.blog)
Post opdateret 2. juni 2023
StorageKit
Fås til: macOS Ventura
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Problemet er løst ved forbedret godkendelse.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
sudo
Fås til: macOS Ventura
Effekt: En app får muligvis ekstra rettigheder
Beskrivelse: Dette problem er løst ved at opdatere sudo.
CVE-2023-22809
Post tilføjet 5. september 2023
System Settings
Fås til: macOS Ventura
Effekt: En firewallindstilling for en app vil muligvis ikke træde i kraft, efter at appen Indstillinger er afsluttet
Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2023-28202: Satish Panduranga og en anonym programmør
Telephony
Fås til: macOS Ventura
Effekt: En ekstern angriber kan muligvis forårsage pludselig applukning eller kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2023-32412: Ivan Fratric fra Google Project Zero
TV App
Fås til: macOS Ventura
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.
CVE-2023-32408: Adam M.
Weather
Fås til: macOS Ventura
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Dette problem er løst med forbedret redigering af følsomme oplysninger.
CVE-2023-32415: Wojciech Regula fra SecuRing (wojciechregula.blog) og en anonym programmør
WebKit
Fås til: macOS Ventura
Effekt: Behandling af webindhold kan medføre afsløring af følsomme oplysninger
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)
Post opdateret 21. december 2023
WebKit
Fås til: macOS Ventura
Effekt: Behandling af webindhold kan afsløre følsomme oplysninger
Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Fås til: macOS Ventura
Effekt: En ekstern hacker kan muligvis frigøre sig fra sin sandbox med webindhold. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne fra Googles Threat Analysis Group og Donncha Ó Cearbhaill fra Amnesty Internationals Security Lab
WebKit
Fås til: macOS Ventura
Effekt: Behandling af webindhold kan medføre afsløring af følsomme oplysninger. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
WebKit Bugzilla: 254930
CVE-2023-28204: En anonym programmør
Dette problem blev først behandlet i Rapid Security Response macOS 13.3.1 (a).
WebKit
Fås til: macOS Ventura
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: Et use-after-free-problem blev løst gennem forbedret hukommelseshåndtering.
WebKit Bugzilla: 254840
CVE-2023-32373: En anonym programmør
Dette problem blev først behandlet i Rapid Security Response macOS 13.3.1 (a).
Wi-Fi
Fås til: macOS Ventura
Effekt: En app kan muligvis afsløre kernehukommelsen
Beskrivelse: Problemet er løst ved forbedret redigering af følsomme oplysninger.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.
Yderligere anerkendelser
Accounts
Vi vil gerne takke Sergii Kryvoblotskyi fra MacPaw Inc. for hjælpen.
CloudKit
Vi vil gerne takke Iconic for hjælpen.
Find My
Vi vil gerne takke Abhinav Thakur, Artem Starovoitov, Hodol K og en anonym programmør for hjælpen.
Post tilføjet 21. december 2023
libxml2
Vi vil gerne takke OSS-Fuzz, Ned Williamson fra Google Project Zero for hjælpen.
Reminders
Vi vil gerne takke Kirin (@Pwnrin) for hjælpen.
Rosetta
Vi vil gerne takke Koh M. Nakagawa fra FFRI Security, Inc. for hjælpen.
Safari
Vi vil gerne takke Khiem Tran (databaselog.com) for hjælpen.
Post opdateret 21. december 2023
Security
Vi vil gerne takke Brandon Toms for hjælpen.
Share Sheet
Vi vil gerne takke Kirin (@Pwnrin) for hjælpen.
Wallet
Vi vil gerne takke James Duffy (mangoSecure) for hjælpen.
WebRTC
Vi vil gerne takke Dohyun Lee (@l33d0hyun) fra PK Security og en anonym programmør for hjælpen.
Post tilføjet 21. december 2023
Wi-Fi
Vi vil gerne takke Adam M. for hjælpen.
Post opdateret 21. december 2023