Om sikkerhedsindholdet i macOS Ventura 13.5

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

Udgivet 24. juli 2023

Accounts

Fås til: macOS Ventura

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.

CVE-2023-40439: Kirin (@Pwnrin)

Post tilføjet 21. december 2023

AMD

Fås til: macOS Ventura

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2023-38616: ABC Research s.r.o.

Post tilføjet 6. september 2023

Apple Neural Engine

Fås til: macOS Ventura

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-34425: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab

Post tilføjet 27. juli 2023

Apple Neural Engine

Fås til: macOS Ventura

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-38580: Mohamed GHANNAM (@_simo36)

AppleMobileFileIntegrity

Fås til: macOS Ventura

Effekt: En app kan muligvis bestemme en brugers aktuelle lokalitet

Beskrivelse: Et nedgraderingsproblem, der påvirker Intel-baserede Mac-computere, er løst ved yderligere kodesigneringsrestriktioner.

CVE-2023-36862: Mickey Jin (@patch1t)

AppSandbox

Fås til: macOS Ventura

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2023-32364: Gergely Kalman (@gergely_kalman)

Assets

Fås til: macOS Ventura

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2023-35983: Mickey Jin (@patch1t)

CFNetwork

Fås til: macOS Ventura

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.

CVE-2023-40392: Wojciech Regula fra SecuRing (wojciechregula.blog)

Post tilføjet 6. september 2023

crontabs

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2023-42828: Erhad Husovic

Post tilføjet 21. december 2023

CUPS

Fås til: macOS Ventura

Effekt: En bruger med en privilegeret netværksposition kan afsløre følsomme oplysninger

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2023-34241: Sei K.

Post tilføjet 27. juli 2023

curl

Fås til: macOS Ventura

Effekt: Flere sikkerhedsproblemer i curl

Beskrivelse: Flere problemer blev løst ved at opdatere curl.

CVE-2023-28319

CVE-2023-28320

CVE-2023-28321

CVE-2023-28322

Find My

Fås til: macOS Ventura

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2023-32416: Wojciech Regula fra SecuRing (wojciechregula.blog)

Find My

Fås til: macOS Ventura

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.

CVE-2023-40437: Kirin (@Pwnrin) og Wojciech Regula fra SecuRing (wojciechregula.blog)

Post tilføjet 21. december 2023

Grapher

Fås til: macOS Ventura

Effekt: Behandling af et arkiv kan føre til uventet appafslutning eller kørsel af vilkårlig kode

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-32418: Bool fra YunShangHuaAn (云上华安)

CVE-2023-36854: Bool fra YunShangHuaAn (云上华安)

ImageIO

Fås til: macOS Ventura

Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-3970: Fundet af OSS-Fuzz

Post tilføjet 6. september 2023

Kernel

Fås til: macOS Ventura

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2023-28200: Arsenii Kostromin (0x3c3e)

Post tilføjet 6. september 2023

Kernel

Fås til: macOS Ventura

Effekt: En fjernbruger kan muligvis få adgang til at udføre uventet systemlukning eller læse fra kernehukommelsen

Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.

CVE-2023-38590: Zweig fra Kunlun Lab

Post tilføjet 27. juli 2023

Kernel

Fås til: macOS Ventura

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Post tilføjet 27. juli 2023

Kernel

Fås til: macOS Ventura

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2023-36495: 香农的三蹦子 fra Pangu Lab

Post tilføjet 27. juli 2023

Kernel

Fås til: macOS Ventura

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2023-37285: Arsenii Kostromin (0x3c3e)

Post tilføjet 27. juli 2023

Kernel

Fås til: macOS Ventura

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2023-38604: En anonym programmør

Post tilføjet 27. juli 2023

Kernel

Fås til: macOS Ventura

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs SG Pte. Ltd.

CVE-2023-38261: En anonym programmør

CVE-2023-38424: Certik Skyfall Team

CVE-2023-38425: Certik Skyfall Team

Kernel

Fås til: macOS Ventura

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.

CVE-2023-32381: En anonym programmør

CVE-2023-32433: Zweig fra Kunlun Lab

CVE-2023-35993: Kaitao Xie og Xiaolong Bai fra Alibaba Group

Kernel

Fås til: macOS Ventura

Effekt: En bruger kan muligvis opnå flere rettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-38410: En anonym programmør

Kernel

Fås til: macOS Ventura

Effekt: En app kan forårsage, at en følsom kernestatus ændres. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet i tidligere versioner af iOS fra før iOS 15.7.1.

Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) og Boris Larin (@oct0xor) fra Kaspersky

Kernel

Fås til: macOS Ventura

Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-38603: Zweig fra Kunlun Lab

libxpc

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2023-38565: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Fås til: macOS Ventura

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2023-38593: Noah Roskin-Frazee

Mail

Fås til: macOS Ventura

Effekt: En S/MIME-krypteret e-mail kan blive sendt ukrypteret utilsigtet

Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration af S/MIME-krypteret e-mail.

CVE-2023-40440: Taavi Eomäe fra Zone Media OÜ

Post tilføjet 21. december 2023

Model I/O

Fås til: macOS Ventura

Effekt: Behandling af en 3D-model kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-38258: Mickey Jin (@patch1t)

CVE-2023-38421: Mickey Jin (@patch1t) og Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Post opdateret 27. juli 2023

Model I/O

Fås til: macOS Ventura

Effekt: Behandling af et billede kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2023-1916

Post tilføjet 21. december 2023

Music

Fås til: macOS Ventura

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst via forbedret godkendelse af symbolske links.

CVE-2023-38571: Gergely Kalman (@gergely_kalman)

Post tilføjet 27. juli 2023

ncurses

Fås til: macOS Ventura

Effekt: En app kan forårsage uventet applukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2023-29491: Jonathan Bar Or fra Microsoft, Emanuele Cozzi fra Microsoft og Michael Pearse fra Microsoft

Post tilføjet 6. september 2023

Net-SNMP

Fås til: macOS Ventura

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2023-38601: Csaba Fitzl (@theevilbit) fra Offensive Security

Post tilføjet 27. juli 2023

NSSpellChecker

Fås til: macOS Ventura

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2023-32444: Mickey Jin (@patch1t)

Post tilføjet 27. juli 2023

OpenLDAP

Fås til: macOS Ventura

Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-2953: Sandipan Roy

OpenSSH

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til SSH-adgangskoder

Beskrivelse: Problemet blev løst via yderligere begrænsninger for observerbarhed af apptilstande.

CVE-2023-42829: James Duffy (mangoSecure)

Post tilføjet 21. december 2023

PackageKit

Fås til: macOS Ventura

Effekt: En app kan muligvis omgå visse indstillinger for fortrolighed

Beskrivelse: Et problem med indsættelse blev løst via forbedret godkendelse af input.

CVE-2023-38609: Michael Cowell

Post tilføjet 27. juli 2023

PackageKit

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2023-38259: Mickey Jin (@patch1t)

PackageKit

Fås til: macOS Ventura

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-38564: Mickey Jin (@patch1t)

PackageKit

Fås til: macOS Ventura

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2023-38602: Arsenii Kostromin (0x3c3e)

Security

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2023-42831: James Duffy (mangoSecure)

Post tilføjet 21. december 2023

Shortcuts

Fås til: macOS Ventura

Effekt: En genvej kan muligvis ændre følsomme indstillinger for appen Genveje

Beskrivelse: Et adgangsproblem er løst med forbedrede adgangsbegrænsninger.

CVE-2023-32442: En anonym programmør

sips

Fås til: macOS Ventura

Effekt: Behandling af et arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2023-32443: David Hoyt fra Hoyt LLC

Software Update

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2023-42832: Arsenii Kostromin (0x3c3e)

Post tilføjet 21. december 2023

SystemMigration

Fås til: macOS Ventura

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-32429: Wenchao Li og Xiaolong Bai fra Hangzhou Orange Shield Information Technology Co., Ltd.

tcpdump

Fås til: macOS Ventura

Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2023-1801

Post tilføjet 21. december 2023

Time Zone

Fås til: macOS Ventura

Effekt: En bruger kan muligvis læse oplysninger, der tilhører en anden bruger

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2023-32654: Matthew Loewen

Post tilføjet 27. juli 2023

Vim

Fås til: macOS Ventura

Effekt: Flere problemer i Vim

Beskrivelse: Flere problemer er løst ved at opdatere Vim.

CVE-2023-2426

CVE-2023-2609

CVE-2023-2610

Post tilføjet 21. december 2023

Memoer

Fås til: macOS Ventura

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.

CVE-2023-38608: Yiğit Can YILMAZ (@yilmazcanyigit), Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab), Kirin (@Pwnrin) og Yishu Wang

Post opdateret 21. december 2023

Weather

Fås til: macOS Ventura

Effekt: En app kan muligvis bestemme en brugers aktuelle lokalitet

Beskrivelse: Problemet blev løst ved forbedret redigering af følsomme oplysninger.

CVE-2023-38605: Adam M.

Post tilføjet 6. september 2023

WebKit

Fås til: macOS Ventura

Effekt: En ekstern hacker kan muligvis forårsage kørsel af vilkårlig javascript-kode

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 257824
CVE-2023-40397: Johan Carlsson (joaxcar)

Post tilføjet 6. september 2023

WebKit

Fås til: macOS Ventura

Effekt: Et websted kan muligvis omgå politikken om samme oprindelse

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd, Pune – Indien

WebKit

Fås til: macOS Ventura

Effekt: Et websted kan potentielt spore følsomme brugeroplysninger

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin og Yuval Yarom

Post tilføjet 27. juli 2023

WebKit

Fås til: macOS Ventura

Effekt: Behandling af dokument kan føre til scriptingangreb på tværs af websteder

Beskrivelse: Problemet er løst ved forbedret kontrol.

WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)

Post tilføjet 27. juli 2023

WebKit

Fås til: macOS Ventura

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

WebKit Bugzilla: 257331
CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd, Pune – Indien samt Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina og Lorenzo Veronese fra TU Wien

Post tilføjet 27. juli 2023

WebKit

Fås til: macOS Ventura

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu

WebKit Bugzilla: 256573
CVE-2023-38595: En anonym programmør, Jiming Wang, Jikai Ren

WebKit Bugzilla: 257387
CVE-2023-38600: Anonym, der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: macOS Ventura

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 258058
CVE-2023-38611: Francisco Alonso (@revskills)

WebKit

Fås til: macOS Ventura

Effekt: Behandling af webindhold kan medføre kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 259231
CVE-2023-37450: En anonym programmør

Dette problem blev først behandlet i Hurtig sikkerhedsopdatering macOS Ventura 13.4.1 (c).

WebKit

Fås til: macOS Ventura

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 257684
CVE-2023-42866: Francisco Alonso (@revskills) og Junsung Lee

Post tilføjet 21. december 2023

WebKit Process Model

Fås til: macOS Ventura

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 258100
CVE-2023-38597: 이준성(Junsung Lee) fra Cross Republic

WebKit Web Inspector

Fås til: macOS Ventura

Effekt: Behandling af webindhold kan afsløre følsomme oplysninger

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

WebKit

Vi vil gerne takke Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd, Pune – Indien for hjælpen.

Post tilføjet 27. juli 2023

WebKit

Vi vil gerne takke 이준성(Junsung Lee) fra Cross Republic for hjælpen.

Post tilføjet 21. december 2023

WebRTC

Vi vil gerne takke en anonym programmør for hjælpen.