Informationen zum Sicherheitsinhalt von macOS Ventura 13.2

In diesem Dokument wird der Sicherheitsinhalt von macOS Ventura 13.2 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

macOS Ventura 13.2

Veröffentlicht am Montag, 23. Januar 2023

AppleMobileFileIntegrity

Verfügbar für: macOS Ventura

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben, die nicht autorisierte Aktionen verhindern.

CVE-2023-32438: Csaba Fitzl (@theevilbit) von Offensive Security und Mickey Jin (@patch1t)

Eintrag hinzugefügt am 5. September 2023

AppleMobileFileIntegrity

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch die Aktivierung der gehärteten Laufzeit behoben.

CVE-2023-23499: Wojciech Reguła (@_r3ggi) von SecuRing (wojciechregula.blog)

Crash Reporter

Verfügbar für: macOS Ventura

Auswirkung: Ein Benutzer kann willkürliche Dateien als Root lesen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2023-23520: Cees Elzinga

Eintrag am 20. Februar 2023 hinzugefügt

curl

Verfügbar für: macOS Ventura

Auswirkung: Mehrere Probleme in curl

Beschreibung: Mehrere Probleme wurden durch das Update von curl auf Version 7.86.0 behoben.

CVE-2022-42915

CVE-2022-42916

CVE-2022-32221

CVE-2022-35260

dcerpc

Verfügbar für: macOS Ventura

Auswirkung: Die Einbindung einer in böser Absicht erstellten Samba-Netzwerkfreigabe kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-23539: Aleksandar Nikolic und Dimitrios Tatsis von Cisco Talos

CVE-2023-23513: Dimitrios Tatsis und Aleksandar Nikolic von Cisco Talos

Eintrag am Montag, 1. Mai 2023 aktualisiert

DiskArbitration

Verfügbar für: macOS Ventura

Auswirkung: Ein verschlüsseltes Volume kann von einem anderen Benutzer deaktiviert und wieder aktiviert werden, ohne dass zur Eingabe eines Passworts aufgefordert wird.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-23493: Oliver Norpoth (@norpoth) von KLIXX GmbH (klixx.com)

FontParser

Verfügbar für: macOS Ventura

Auswirkung: Die Verarbeitung einer Schriftdatei kann zur Ausführung von willkürlichem Code führen. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise aktiv für iOS-Versionen ausgenutzt wurde, die vor iOS 15.7.1 veröffentlicht wurden.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2023-41990: Apple

Eintrag am 8. September 2023 hinzugefügt

Foundation

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürlichen Code außerhalb der Sandbox oder mit bestimmten erhöhten Benutzerrechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-23530: Austin Emmitt (@alkalinesec), Senior Security Researcher bei Trellix Advanced Research Center

Eintrag am 20. Februar 2023 hinzugefügt und am 1. Mai 2023 aktualisiert

Foundation

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürlichen Code außerhalb der Sandbox oder mit bestimmten erhöhten Benutzerrechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-23531: Austin Emmitt (@alkalinesec), Senior Security Researcher bei Trellix Advanced Research Center

Eintrag am 20. Februar 2023 hinzugefügt und am 1. Mai 2023 aktualisiert

ImageIO

Verfügbar für: macOS Ventura

Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-23519: Meysam Firouzi @R00tkitSMM vom Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) und jzhu in Zusammenarbeit mit der Trend Micro Zero Day Initiative

Eintrag aktualisiert am 5. September 2023

Intel Graphics Driver

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-23507: ein anonymer Forscher

Kernel

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-23516: Jordy Zomer (@pwningsystems)

Eintrag hinzugefügt am Montag, 1. Mai 2023

Kernel

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status preisgeben.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) von STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise das Layout des Kernelspeichers ermitteln.

Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) von STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-23504: Adam Doupé von ASU SEFCOM

libxpc

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2023-23506: Guilherme Rambo von Best Buddy Apps (rambo.codes)

Mail Drafts

Verfügbar für: macOS Ventura

Auswirkung: Beim Weiterleiten einer E-Mail von einem Exchange-Account wird die zitierte Originalnachricht möglicherweise von der falschen E-Mail ausgewählt.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-23498: Jose Lizandro Luevano

Eintrag am Montag, 1. Mai 2023 aktualisiert

Maps

Verfügbar für: macOS Ventura

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-23503: Ein anonymer Forscher

Messages

Verfügbar für: macOS Ventura

Auswirkung: Ein Benutzer kann eine Textnachricht über eine sekundäre eSIM senden, obwohl der Kontakt zur Nutzung einer primären eSIM konfiguriert wurde.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-28208: freshman

Eintrag hinzugefügt am 5. September 2023

PackageKit

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-23497: Mickey Jin (@patch1t)

Safari

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise auf den Safari-Verlauf eines Benutzers zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2023-23510: Guilherme Rambo von Best Buddy Apps (rambo.codes)

Safari

Verfügbar für: macOS Ventura

Auswirkung: Der Besuch einer Website kann zu einem Denial-of-Service bei einer App führen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2023-23512: Adriatik Raci

Screen Time

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise auf Informationen zu den Kontakten eines Benutzers zugreifen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-23505: Wojciech Reguła von SecuRing (wojciechregula.blog) und Csaba Fitzl (@theevilbit) von Offensive Security

Eintrag am Montag, 1. Mai 2023 aktualisiert

Vim

Verfügbar für: macOS Ventura

Auswirkung: Mehrere Probleme in Vim

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-3705

Weather

Verfügbar für: macOS Ventura

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-23511: Wojciech Reguła von SecuRing (wojciechregula.blog), ein anonymer Forscher

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 248885

CVE-2023-32393: Francisco Alonso (@revskills)

Eintrag am 28. Juni 2023 hinzugefügt

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 245464

CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren und Hang Shu vom Institute of Computing Technology, Chinese Academy of Sciences

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 248268

CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) vom Team ApplePIE

WebKit Bugzilla: 248268

CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) vom Team ApplePIE

Wi-Fi

Verfügbar für: macOS Ventura

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben

CVE-2023-23501: Pan ZhenPeng (@Peterpan0927) von STAR Labs SG Pte. Ltd. (@starlabs_sg)

Windows Installer

Verfügbar für: macOS Ventura

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-23508: Mickey Jin (@patch1t)

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Ein HTML-Dokument kann iframes mit vertraulichen Benutzerinformationen darstellen.

Beschreibung: Dieses Problem wurde durch verbesserte Durchsetzung von iframe-Sandbox behoben.

WebKit Bugzilla: 241753

CVE-2022-0108: Luan Herrera (@lbherrera_)

Eintrag hinzugefügt am Montag, 1. Mai 2023

Zusätzliche Danksagung

AppleMobileFileIntegrity

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security für die Unterstützung bedanken.

Eintrag hinzugefügt am Montag, 1. Mai 2023

Bluetooth

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Core Data

Wir möchten uns bei Austin Emmitt (@alkalinesec), Senior Security Researcher beim Trellix Advanced Research Center, für die Unterstützung bedanken.

Eintrag am 8. September 2023 hinzugefügt

Kernel

Wir möchten uns bei Nick Stenning von Replicate für die Unterstützung bedanken.

Shortcuts

Wir möchten uns bei Baibhav Anand Jha von ReconWithMe und Cristian Dinca von Tudor Vianu National High School of Computer Science, Rumänien, für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Eliya Stein von Confiant für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: