Om sikkerhedsindholdet i macOS Sonoma 14

I dette dokument beskrives sikkerhedsindholdet i macOS Sonoma 14.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Sonoma 14

Udgivet 26. september 2023

Airport

Fås til: Mac Studio (2022 og nyere modeller), iMac (2019 og nyere modeller), Mac Pro (2019 og nyere modeller), Mac mini (2018 og nyere modeller), MacBook Air (2018 og nyere modeller), MacBook Pro (2018 og nyere modeller) og iMac Pro (2017)

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et problem med tilladelser blev løst med forbedret redigering af følsomme oplysninger.

CVE-2023-40384: Adam M.

AMD

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.

CVE-2023-32377: ABC Research s.r.o.

AMD

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-38615: ABC Research s.r.o.

App Store

Effekt: Et fjernangreb kan muligvis bryde ud af webindholdssandboxen

Beskrivelse: Problemet er løst ved forbedret håndtering af protokoller.

CVE-2023-40448: w0wbox

Apple Neural Engine

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Post opdateret 22. december 2023

Apple Neural Engine

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2023-40410: Tim Michaud (@TimGMichaud) fra Moveworks.ai

AppleMobileFileIntegrity

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.

CVE-2023-42872: Mickey Jin (@patch1t)

Post tilføjet 22. december 2023

AppSandbox

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-42929: Mickey Jin (@patch1t)

Post tilføjet 22. december 2023

AppSandbox

Effekt: En app kan muligvis få adgang til notebilag

Beskrivelse: Problemet er løst med forbedret begrænsning af adgangen til databeholdere.

CVE-2023-42925: Wojciech Reguła (@_r3ggi) og Kirin (@Pwnrin)

Post tilføjet 16. juli 2024

Ask to Buy

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-38612: Chris Ross (Zoom)

Post tilføjet 22. december 2023

AuthKit

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.

CVE-2023-32361: Csaba Fitzl (@theevilbit) fra Offensive Security

Bluetooth

Effekt: En angriber i fysisk nærhed kan forårsage en begrænset out of bounds-skrivning

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-35984: zer0k

Bluetooth

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Effekt: En app kan muligvis omgå visse indstillinger for anonymitet

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Effekt: Behandling af et arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

Post tilføjet 22. december 2023

bootp

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et anonymitetsproblem er løst ved forbedret bortredigering af private data for logposter.

CVE-2023-41065: Adam M. og Noah Roskin-Frazee og Professor Jason Lau (ZeroClicks.ai Lab)

Calendar

Effekt: En app kan muligvis få adgang til kalenderdata gemt i en midlertidig mappe

Beskrivelse: Et anonymitetsproblem er løst via forbedret håndtering af midlertidige arkiver.

CVE-2023-29497: Kirin (@Pwnrin) og Yishu Wang

CFNetwork

Effekt: En app håndhæver muligvis ikke App Transport Security

Beskrivelse: Problemet er løst ved forbedret håndtering af protokoller.

CVE-2023-38596: Will Brattain fra Trail of Bits

Ur

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et anonymitetsproblem er løst ved forbedret bortredigering af private data for logposter.

CVE-2023-42943: Cristian Dinca fra "Tudor Vianu" National High School of Computer Science, Rumænien

Post tilføjet 16. juli 2024

ColorSync

Effekt: En app kan muligvis læse vilkårlige arkiver

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-40406: JeongOhKyea fra Theori

CoreAnimation

Effekt: Behandling af webindhold kan føre til DoS-angreb

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-40420: 이준성(Junsung Lee) fra Cross Republic

Core Data

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2023-40528: Kirin (@Pwnrin) fra NorthSea

Post tilføjet 22. januar 2024

Core Image

Effekt: En app kan muligvis få adgang til redigerede fotos, der er gemt i en midlertidig mappe

Beskrivelse: Et problem blev løst med forbedret håndtering af midlertidige arkiver.

CVE-2023-40438: Wojciech Regula fra SecuRing (wojciechregula.blog)

Post tilføjet 22. december 2023

CoreMedia

Effekt: En kameraudvidelse kan muligvis få adgang til kameravisning fra andre apps end den app, hvor der blev givet tilladelse

Beskrivelse: Et logikproblem er løst ved forbedret kontrol

CVE-2023-41994: Halle Winkler, Politepix @hallewinkler

Post tilføjet 22. december 2023

CUPS

Effekt: En hacker kan muligvis fremkalde et DoS-angreb

Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.

CVE-2023-40407: Sei K.

Dev Tools

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

Post opdateret 22. december 2023

FileProvider

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2023-41980: Noah Roskin-Frazee og Professor Jason Lau (ZeroClicks.ai Lab)

FileProvider

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2023-40411: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab) og Csaba Fitzl (@theevilbit) fra Offensive Security

Post tilføjet 22. december 2023

Game Center

Effekt: En app kan muligvis få adgang til kontakter

Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.

CVE-2023-40395: Csaba Fitzl (@theevilbit) fra Offensive Security

GPU Drivers

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-40391: Antonio Zekic (@antoniozekic) fra Dataflow Security

GPU Drivers

Effekt: Behandling af webindhold kan føre til DoS-angreb

Beskrivelse: Et problem med opbrugte ressourcer er løst via forbedret inputvalidering.

CVE-2023-40441: Ron Masas fra Imperva

Graphics Drivers

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2023-42959: Murray Mike

Post tilføjet 16. juli 2024

iCloud

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med tilladelser blev løst med forbedret redigering af følsomme oplysninger.

CVE-2023-23495: Csaba Fitzl (@theevilbit) fra Offensive Security

iCloud Photo Library

Effekt: En app kan muligvis få adgang til en brugers fotobibliotek

Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.

CVE-2023-40434: Mikko Kenttälä (@Turmio_) fra SensorFu

Image Capture

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Effekt: En hacker kan muligvis forårsage uventet systemlukning eller læsning til kernehukommelsen

Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.

CVE-2023-40436: Murray Mike

IOUserEthernet

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-40396: Certik Skyfall Team

Post tilføjet 16. juli 2024

Kernel

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev løst gennem forbedret hukommelseshåndtering.

CVE-2023-41995: Certik Skyfall Team og pattern-f (@pattern_F_) fra Ant Security Light-Year Lab

CVE-2023-42870: Zweig fra Kunlun Lab

Post opdateret 22. december 2023

Kernel

Effekt: En hacker, der allerede har opnået kørsel af kernekode, kan muligvis være i stand til at omgå løsning af kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-41981: Linus Henze fra Pinauten GmbH (pinauten.de)

Kernel

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.

Kernel

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et tilladelsesproblem er løst via forbedret godkendelse.

CVE-2023-40429: Michael (Biscuit) Thomas og 张师傅(@京东蓝军)

Kernel

Effekt: En fjernbruger kan få adgang til at køre kernekode

Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) fra MIT CSAIL

Post tilføjet 22. december 2023

LaunchServices

Effekt: En app kan omgå Gatekeeper-kontrollerne

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo) fra Jamf Software og en anonym programmør

libpcap

Effekt: En fjernbruger kan få adgang til at udføre uventet applukning eller køre vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2023-40400: Sei K.

libxpc

Effekt: En app kan muligvis slette arkiver, som den ikke har tilladelse til

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2023-40454: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2023-41073: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Effekt: Behandling af webindhold kan afsløre følsomme oplysninger

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) fra PK Security

Maps

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.

CVE-2023-40427: Adam M. og Wojciech Regula fra SecuRing (wojciechregula.blog)

Maps

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2023-42957: Adam M. og Ron Masas fra BreakPoint Security Research

Post tilføjet 16. juli 2024

Messages

Effekt: En app kan observere ubeskyttede brugerdata

Beskrivelse: Et anonymitetsproblem er løst via forbedret håndtering af midlertidige arkiver.

CVE-2023-32421: Meng Zhang (鲸落) fra NorthSea, Ron Masas fra BreakPoint Security Research, Brian McNulty og Kishan Bagaria fra Texts.com

Model I/O

Effekt: Behandling af et arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-42826: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative

Post tilføjet 19. oktober 2023

Model I/O

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2023-42918: Mickey Jin (@patch1t)

Post tilføjet 16. juli 2024

Music

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2023-40455: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

Notes

Effekt: En app kan muligvis få adgang til notebilag

Beskrivelse: Et anonymitetsproblem er løst via forbedret håndtering af midlertidige arkiver.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Effekt: Der blev fundet en sårbarhed i ekstern videresendelse i OpenSSH

Beskrivelse: Dette problem er løst ved at opdatere OpenSSH til 9.3p2

CVE-2023-38408: baba yaga, en anonym programmør

Post tilføjet 22. december 2023

Passkeys

Effekt: En hacker kan muligvis få adgang til adgangsnøgler uden godkendelse

Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.

CVE-2023-40401: weize she og en anonym programmør

Post tilføjet 22. december 2023

Photos

Effekt: Billeder i albummet Skjult i Fotos kan muligvis ses uden godkendelse

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2023-40393: En anonym programmør, Berke Kırbaş og Harsh Jaiswal

Post tilføjet 22. december 2023

Photos

Effekt: En app kan muligvis få adgang til redigerede fotos, der er gemt i en midlertidig mappe

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2023-42949: Kirin (@Pwnrin)

Post tilføjet 16. juli 2024

Photos Storage

Effekt: En app med rodrettigheder kan muligvis få adgang til en brugers private oplysninger

Beskrivelse: Et problem med afsløring af oplysninger er løst ved at fjerne den sårbare kode.

CVE-2023-42934: Wojciech Regula fra SecuRing (wojciechregula.blog)

Post tilføjet 22. december 2023

Power Management

Effekt: En bruger kan muligvis se begrænset indhold på låseskærmen

Beskrivelse: Et problem med låseskærmen blev løst ved forbedret statusadministration.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi fra George Mason University og Billy Tabrizi

Post opdateret 22. december 2023

Printing

Effekt: En app kan ændre printerindstillingerne

Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Post tilføjet 22. december 2023

Printing

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2023-41987: Kirin (@Pwnrin) og Wojciech Regula fra SecuRing (wojciechregula.blog)

Post tilføjet 22. december 2023

Pro Res

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-40422: Tomi Tokics (@tomitokics) fra iTomsn0w

Safari

Effekt: Behandling af webindhold kan afsløre følsomme oplysninger

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Effekt: Safari kan muligvis gemme fotos på et ubeskyttet sted

Beskrivelse: Et anonymitetsproblem er løst via forbedret håndtering af midlertidige arkiver.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Effekt: En app kan muligvis identificere, hvilke andre apps en bruger har installeret

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-35990: Adriatik Raci fra Sentry Cybersecurity

Safari

Effekt: Et besøg på et websted, som bruger skadeligt indhold, kan medføre manipulering med brugergrænsefladen

Beskrivelse: Et problem med vindueshåndtering blev løst gennem forbedret statusadministration.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd, Pune (Indien)

Post opdateret 22. december 2023

Sandbox

Effekt: En app kan muligvis overskrive vilkårlige arkiver

Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Effekt: En app kan muligvis få adgang til udskiftelige enheder uden en brugers samtykke

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Post tilføjet 22. december 2023

Sandbox

Effekt: Apps, der ikke fuldfører bekræftelseskontroller, åbner muligvis alligevel

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-41996: Mickey Jin (@patch1t) og Yiğit Can YILMAZ (@yilmazcanyigit)

Post tilføjet 22. december 2023

Screen Sharing

Effekt: En app kan muligvis omgå visse indstillinger for anonymitet

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2023-41078: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

Share Sheet

Effekt: En app kan muligvis få adgang til følsomme data, der logges, når en bruger deler et link

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Effekt: En genvej kan føre til følsomme brugerdata uden tilladelse

Beskrivelse: Dette problem blev løst ved at tilføje en yderligere prompt for brugerindhold.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) og James Duffy (mangoSecure)

Shortcuts

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst med forbedret tilladelseslogik.

CVE-2023-41079: Ron Masas fra BreakPoint.sh og en anonym programmør

Spotlight

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

Post tilføjet 22. december 2023

StorageKit

Effekt: En app kan muligvis læse vilkårlige arkiver

Beskrivelse: Problemet er løst via forbedret godkendelse af symbolske links.

CVE-2023-41968: Mickey Jin (@patch1t) og James Hutchins

System Preferences

Effekt: En app kan omgå Gatekeeper-kontrollerne

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-40450: Thijs Alkemade (@xnyhps) fra Computest Sector 7

System Settings

Effekt: En Wi-Fi-adgangskode slettes muligvis ikke, når en Mac aktiveres i macOS-gendannelse

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2023-42948: Andrew Haggard

Post tilføjet 16. juli 2024

TCC

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) og Csaba Fitzl (@theevilbit) fra Offensive Security

WebKit

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 249451

CVE-2023-39434: Francisco Alonso (@revskills) og Dohyun Lee (@l33d0hyun) fra PK Security

WebKit Bugzilla: 258992

CVE-2023-40414: Francisco Alonso (@revskills)

Post opdateret 22. december 2023

WebKit

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 256551

CVE-2023-41074: 이준성 (Junsung Lee) fra Cross Republic og Jie Ding (@Lime) fra HKUS3 Lab

Post opdateret 22. december 2023

WebKit

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 239758

CVE-2023-35074: Ajou University Abysslab Dong Jun Kim (@smlijun) og Jong Seong Kim (@nevul37)

Post opdateret 22. december 2023

WebKit

Effekt: Behandling af webindhold kan medføre kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet i tidligere versioner af iOS fra før iOS 16.7.

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 261544

CVE-2023-41993: Bill Marczak fra The Citizen Lab på The University of Toronto's Munk School og Maddie Stone fra Google's Threat Analysis Group

WebKit

Effekt: En brugers adgangskode kan muligvis læses højt af VoiceOver

Beskrivelse: Problemet er løst ved forbedret bortredigering af følsomme oplysninger.

WebKit Bugzilla: 248717

CVE-2023-32359: Claire Houston

Post tilføjet 22. december 2023

WebKit

Effekt: Et fjernangreb kan muligvis få adgang til lækkede DNS-forespørgsler, hvis Privat datatrafik er slået til

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

WebKit Bugzilla: 257303

CVE-2023-40385: Anonym

Post tilføjet 22. december 2023

WebKit

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med nøjagtighed blev løst ved forbedret kontrol.

WebKit Bugzilla: 258592

CVE-2023-42833: Dong Jun Kim (@smlijun) og Jong Seong Kim (@nevul37) fra AbyssLab

Post tilføjet 22. december 2023

Wi-Fi

Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen

Beskrivelse: Et problem med beskadiget hukommelse er løst ved at fjerne den sårbare kode.

CVE-2023-38610: Wang Yu fra Cyberserval

Post tilføjet 22. december 2023

Windows Server

Effekt: En app kan muligvis uventet afsløre en brugers loginoplysninger fra sikre tekstfelter

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2023-41066: En anonym programmør, Jeremy Legendre fra MacEnhance og Felix Kratz

Post opdateret 22. december 2023

XProtectFramework

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Yderligere anerkendelser

Airport

Vi vil gerne takke Adam M., Noah Roskin-Frazee og Professor Jason Lau (ZeroClicks.ai Lab) for hjælpen.

AppKit

Vi vil gerne takke en anonym programmør for hjælpen.

Apple Neural Engine

Vi vil gerne takke pattern-f (@pattern_F_) fra Ant Security Light-Year Lab for hjælpen.

Post tilføjet 22. december 2023

AppSandbox

Vi vil gerne takke Kirin (@Pwnrin) for hjælpen.

Archive Utility

Vi vil gerne takke Mickey Jin (@patch1t) for hjælpen.

Audio

Vi vil gerne takke Mickey Jin (@patch1t) for hjælpen.

Bluetooth

Vi vil gerne takke Jianjun Dai og Guang Gong fra 360 Vulnerability Research Institute for deres hjælp.

Books

Vi vil gerne takke Aapo Oksman fra Nixu Cybersecurity for hjælpen.

Post tilføjet 22. december 2023

Control Center

Vi vil gerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjælpen.

Post tilføjet 22. december 2023

Core Location

Vi vil gerne takke Wouter Hennen for hjælpen.

CoreMedia Playback

Vi vil gerne takke Mickey Jin (@patch1t) for hjælpen.

CoreServices

Vi vil gerne takke Thijs Alkemade fra Computest Sector 7, Wojciech Reguła (@_r3ggi) fra SecuRing og en anonym programmør for hjælpen.

Post tilføjet 22. december 2023

Data Detectors UI

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College Of Technology Bhopal for hjælpen.

Find My

Vi vil gerne takke Cher Scarlett for hjælpen.

Home

Vi vil gerne takke Jake Derouin (jakederouin.com) for hjælpen.

IOGraphics

Vi vil gerne takke en anonym programmør for hjælpen.

IOUserEthernet

Vi vil gerne takke Certik Skyfall Team for hjælpen.

Post tilføjet 22. december 2023

Kernel

Vi vil gerne takke Bill Marczak fra The Citizen Lab i Munk School på University of Toronto, Maddie Stone fra Googles Threat Analysis Group, Xinru Chi fra Pangu Lab og 永超王 for hjælpen.

libxml2

Vi vil gerne takke OSS-Fuzz, Ned Williamson fra Google Project Zero for hjælpen.

libxpc

Vi vil gerne takke en anonym programmør for hjælpen.

libxslt

Vi vil gerne takke Dohyun Lee (@l33d0hyun) fra PK Security, OSS-Fuzz, Ned Williamson fra Google Project Zero for hjælpen.

Mail

Vi vil gerne takke Taavi Eomäe fra Zone Media OÜ for hjælpen.

Post tilføjet 22. december 2023

Menus

Vi vil gerne takke Matthew Denton fra Google Chrome Security for hjælpen.

Post tilføjet 22. december 2023

NSURL

Vi vil gerne takke Zhanpeng Zhao (行之) og 糖豆爸爸 (@晴天组织) for hjælpen.

PackageKit

Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security og en anonym programmør for hjælpen.

Photos

Vi vil gerne takke Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius og Paul Lurin for hjælpen.

Post opdateret 16. juli 2024

Power Services

Vi vil gerne takke Mickey Jin (@patch1t) for hjælpen.

Post tilføjet 22. december 2023

Reminders

Vi vil gerne takke Paweł Szafirowski for hjælpen.

Safari

Vi vil gerne takke Kang Ali fra Punggawa Cyber Security for hjælpen.

Sandbox

Vi vil gerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjælpen.

SharedFileList

Vi vil gerne takke Christopher Lopez – @L0Psec og Kandji, Leo Pitt fra Zoom Video Communications, Masahiro Kawada (@kawakatz) fra GMO Cybersecurity by Ierae og Ross Bingham (@PwnDexter) for hjælpen.

Post opdateret 22. december 2023

Shortcuts

Vi vil gerne takke Alfie CG, Christian Basting fra Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca fra "Tudor Vianu" National High School of Computer Science, Rumænien, Giorgos Christodoulidis, Jubaer Alnazi fra TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) og Matthew Butler for hjælpen.

Post opdateret 24. april 2024

Software Update

Vi vil gerne takke Omar Siman for hjælpen.

Spotlight

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College Of Technology Bhopal og Dawid Pałuska for hjælpen.

StorageKit

Vi vil gerne takke Mickey Jin (@patch1t) for hjælpen.

Video Apps

Vi vil gerne takke James Duffy (mangoSecure) for hjælpen.

WebKit

Vi vil gerne takke Khiem Tran, Narendra Bhati fra Suma Soft Pvt. Ltd, Pune (Indien) og en anonym programmør for hjælpen.

WebRTC

Vi vil gerne takke en anonym programmør for hjælpen.

Wi-Fi

Vi vil gerne takke Adam M. og Wang Yu fra Cyberserval for hjælpen.

Post opdateret 22. december 2023

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 19. august 2024