Informationen zum Sicherheitsinhalt von macOS Sonoma 14

In diesem Dokument wird der Sicherheitsinhalt von macOS Sonoma 14 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Veröffentlichungen findest du auf der Seite der Apple-Sicherheitsupdates und -maßnahmen.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

macOS Sonoma 14

Veröffentlicht am 26. September 2023

Airport

Verfügbar für: Mac Studio (2022 und neuer), iMac (2019 und neuer), Mac Pro (2019 und neuer), Mac mini (2018 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2018 und neuer) und iMac Pro (2017)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Berechtigungsproblem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

CVE-2023-40384: Adam M.

AMD

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-32377: ABC Research s.r.o.

AMD

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-38615: ABC Research s.r.o.

AppSandbox

Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-42929: Mickey Jin (@patch1t)

Eintrag am 22. Dezember 2023 hinzugefügt

App Store

Auswirkung: Ein entfernter Angreifer kann möglicherweise die Sandbox für Webinhalte umgehen

Beschreibung: Das Problem wurde durch eine verbesserte Protokollverarbeitung behoben.

CVE-2023-40448: w0wbox

AppleMobileFileIntegrity

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2023-42872: Mickey Jin (@patch1t)

Eintrag am 22. Dezember 2023 hinzugefügt

Apple Neural Engine

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Eintrag am 22. Dezember 2023 aktualisiert

Apple Neural Engine

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-40410: Tim Michaud (@TimGMichaud) von Moveworks.ai

Ask to Buy

Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-38612: Chris Ross (Zoom)

Eintrag am 22. Dezember 2023 hinzugefügt

AuthKit

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2023-32361: Csaba Fitzl (@theevilbit) von Offensive Security

Bluetooth

Auswirkung: Ein Angreifer, der sich in unmittelbarer Nähe befindet, kann einen begrenzten Schreibvorgang außerhalb des zugewiesenen Bereichs verursachen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-35984: zer0k

Bluetooth

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Auswirkung: Bestimmte Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Auswirkung: Die Verarbeitung einer Datei kann zu einem Denial-of-Service führen und möglicherweise Speicherinhalte preisgeben.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

Eintrag am 22. Dezember 2023 hinzugefügt

bootp

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-41065: Adam M., Noah Roskin-Frazee und Professor Jason Lau (ZeroClicks.ai Lab)

Calendar

Auswirkung: Eine App kann möglicherweise auf Kalenderdaten zugreifen, die in einem temporären Verzeichnis gespeichert wurden.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Verarbeitung von temporären Dateien behoben.

CVE-2023-29497: Kirin (@Pwnrin) und Yishu Wang

CFNetwork

Auswirkung: Eine App kann möglicherweise App Transport Security nicht durchsetzen.

Beschreibung: Das Problem wurde durch eine verbesserte Protokollverarbeitung behoben.

CVE-2023-38596: Will Brattain bei Trail of Bits

ColorSync

Auswirkung: Eine App kann möglicherweise willkürliche Dateien lesen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-40406: JeongOhKyea von Theori

CoreAnimation

Auswirkung: Die Verarbeitung von Webinhalten kann zu einem Denial-of-Service führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40420: 이준성(Junsung Lee) von Cross Republic

Core Data

Auswirkung: Die Datenschutz-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2023-40528: Kirin (@Pwnrin) von NorthSea

Eintrag am 22. Januar 2024 hinzugefügt

Core Image

Auswirkung: Eine App kann möglicherweise auf bearbeitete Fotos zugreifen, die in einem temporären Verzeichnis gesichert sind.

Beschreibung: Ein Problem wurde durch eine verbesserte Verarbeitung von temporären Dateien behoben.

CVE-2023-40438: Wojciech Regula von SecuRing (wojciechregula.blog)

Eintrag am 22. Dezember 2023 hinzugefügt

CoreMedia

Auswirkung: Eine Kameraerweiterung kann möglicherweise von anderen Anwendungen aus auf die Kameraansicht zugreifen als von der Anwendung, für die sie die Berechtigung erhalten hat.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben

CVE-2023-41994: Halle Winkler, Politepix @hallewinkler

Eintrag am 22. Dezember 2023 hinzugefügt

CUPS

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service verursachen

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-40407: Sei K.

Dev Tools

Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

Eintrag am 22. Dezember 2023 aktualisiert

FileProvider

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2023-41980: Noah Roskin-Frazee und Professor Jason Lau (ZeroClicks.ai Lab)

FileProvider

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2023-40411: Noah Roskin-Frazee und Prof. J. (ZeroClicks.ai Lab) und Csaba Fitzl (@theevilbit) von Offensive Security

Eintrag am 22. Dezember 2023 hinzugefügt

Game Center

Auswirkung: Eine App kann möglicherweise auf Kontakte zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2023-40395: Csaba Fitzl (@theevilbit) von Offensive Security

GPU Drivers

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40391: Antonio Zekic (@antoniozekic) von Dataflow Security

GPU Drivers

Auswirkung: Die Verarbeitung von Webinhalten kann zu einem Denial-of-Service führen.

Beschreibung: Ein Problem mit der Ressourcenausschöpfung wurde durch eine bessere Eingabeüberprüfung behoben.

CVE-2023-40441: Ron Masas von Imperva

iCloud

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

CVE-2023-23495: Csaba Fitzl (@theevilbit) von Offensive Security

iCloud Photo Library

Auswirkung: Eine App kann möglicherweise auf die Fotos-Mediathek eines Benutzers zugreifen.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2023-40434: Mikko Kenttälä (@Turmio_) von SensorFu

Image Capture

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Auswirkung: Ein Angreifer kann möglicherweise einen unerwarteten Systemabbruch verursachen oder den Kernel-Speicher lesen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-40436: Murray Mike

Kernel

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-41995: Certik Skyfall Team und pattern-f (@pattern_F_) von Ant Security Light-Year Lab

CVE-2023-42870: Zweig von Kunlun Lab

Eintrag am 22. Dezember 2023 aktualisiert

Kernel

Auswirkung: Ein Angreifer, der bereits Codes im Kernel ausführen kann, kann Schutzmaßnahmen für den Kernel-Speicher umgehen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-41981: Linus Henze von der Pinauten GmbH (pinauten.de)

Kernel

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) von STAR Labs SG Pte. Ltd.

Kernel

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2023-40429: Michael (Biscuit) Thomas und 张师傅(@京东蓝军)

Kernel

Auswirkung: Remotebenutzer können die Ausführung von Kernelcode verursachen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) von MIT CSAIL

Eintrag am 22. Dezember 2023 hinzugefügt

LaunchServices

Auswirkung: Eine App kann Gatekeeper-Überprüfungen umgehen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo) von Jamf Software und ein anonymer Forscher

libpcap

Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-40400: Sei K.

libxpc

Auswirkung: Eine App kann möglicherweise Dateien löschen, für die sie keine Zugriffsrechte hat.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2023-40454: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-41073: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Auswirkung: Bei der Verarbeitung von Webinhalten können vertrauliche Informationen offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) von PK Security

Maps

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2023-40427: Adam M. und Wojciech Regula von SecuRing (wojciechregula.blog)

Messages

Auswirkung: Eine App kann möglicherweise ungeschützte Benutzerdaten ausspähen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Verarbeitung von temporären Dateien behoben.

CVE-2023-32421: Meng Zhang (鲸落) von NorthSea, Ron Masas von BreakPoint Security Research, Brian McNulty und Kishan Bagaria von Texts.com

Model I/O

Auswirkung: Die Verarbeitung einer Datei kann möglicherweise zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-42826: Michael DePlante (@izobashi) von der Zero Day Initiative von Trend Micro

Eintrag hinzugefügt am 19. Oktober 2023

Music

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2023-40455: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab (xlab.tencent.com)

Notes

Auswirkung: Eine App kann möglicherweise auf Anhänge in der Notizen-App zugreifen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Verarbeitung von temporären Dateien behoben.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Auswirkung: In OpenSSHs Remote Forwarding wurde eine Schwachstelle entdeckt.

Beschreibung: Dieses Problem wurde durch die Aktualisierung von OpenSSH auf 9.3p2 behoben.

CVE-2023-38408: baba yaga, ein anonymer Forscher

Eintrag am 22. Dezember 2023 hinzugefügt

Passkeys

Auswirkung: Ein Angreifer kann möglicherweise ohne Authentifizierung auf Passkeys zugreifen

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2023-40401: weize she und ein anonymer Forscher

Eintrag am 22. Dezember 2023 hinzugefügt

Photos

Auswirkung: Fotos im ausgeblendeten Fotoalbum können möglicherweise ohne Authentifizierung angezeigt werden.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-40393: Ein anonymer Forscher, Berke Kırbaş und Harsh Jaiswal

Eintrag am 22. Dezember 2023 hinzugefügt

Photos Storage

Auswirkung: Eine App mit Root-Rechten kann möglicherweise auf private Daten zugreifen.

Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2023-42934: Wojciech Regula von SecuRing (wojciechregula.blog)

Eintrag am 22. Dezember 2023 hinzugefügt

Power Management

Auswirkung: Benutzer können möglicherweise eingeschränkten Inhalt auf dem Sperrbildschirm anzeigen.

Beschreibung: Ein Problem mit dem Sperrbildschirm wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi von der George Mason University und Billy Tabrizi

Eintrag am 22. Dezember 2023 aktualisiert

Printing

Auswirkung: Eine App kann möglicherweise die Druckereinstellungen ändern.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Eintrag am 22. Dezember 2023 hinzugefügt

Printing

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-41987: Kirin (@Pwnrin) und Wojciech Regula von SecuRing (wojciechregula.blog)

Eintrag am 22. Dezember 2023 hinzugefügt

Pro Res

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40422: Tomi Tokics (@tomitokics) von iTomsn0w

Safari

Auswirkung: Bei der Verarbeitung von Webinhalten können vertrauliche Informationen offengelegt werden.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Auswirkung: Safari kann Fotos in einem ungeschützten Bereich speichern

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Verarbeitung von temporären Dateien behoben.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Auswirkung: Eine App kann möglicherweise feststellen, welche anderen Apps ein Benutzer installiert hat.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-35990: Adriatik Raci von Sentry Cybersecurity

Safari

Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.

Beschreibung: Ein Fensterverwaltungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) von Suma Soft Pvt. Ltd, Pune (Indien)

Eintrag am 22. Dezember 2023 aktualisiert

Sandbox

Auswirkung: Eine App kann möglicherweise willkürliche Dateien überschreiben.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Auswirkung: Eine Anwendung kann ohne Zustimmung des Benutzers auf Wechseldatenträger zugreifen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Eintrag am 22. Dezember 2023 hinzugefügt

Sandbox

Auswirkung: Apps, die die Verifizierung nicht bestanden haben, werden möglicherweise trotzdem ausgeführt

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-41996: Mickey Jin (@patch1t) und Yiğit Can YILMAZ (@yilmazcanyigit)

Eintrag am 22. Dezember 2023 hinzugefügt

Screen Sharing

Auswirkung: Bestimmte Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-41078: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab (xlab.tencent.com)

Share Sheet

Auswirkung: Eine App kann möglicherweise auf vertrauliche Daten zugreifen, die beim Teilen eines Links durch einen Benutzer aufgezeichnet werden.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Auswirkung: Ein Kurzbefehl kann sensible Benutzerdaten ohne Zustimmung ausgeben

Beschreibung: Dieses Problem wurde behoben, indem eine zusätzliche Eingabeaufforderung für die Benutzerzustimmung hinzugefügt wurde.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) und James Duffy (mangoSecure)

Shortcuts

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Das Problem wurde durch verbesserte Berechtigungslogik behoben.

CVE-2023-41079: Ron Masas von BreakPoint.sh und ein anonymer Forscher

Spotlight

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

Eintrag am 22. Dezember 2023 hinzugefügt

StorageKit

Auswirkung: Eine App kann möglicherweise willkürliche Dateien lesen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Validierung von Symlinks behoben.

CVE-2023-41968: Mickey Jin (@patch1t) und James Hutchins

System Preferences

Auswirkung: Eine App kann Gatekeeper-Überprüfungen umgehen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-40450: Thijs Alkemade (@xnyhps) von Computest Sector 7

TCC

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) und Csaba Fitzl (@theevilbit) von Offensive Security

WebKit

Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) und Dohyun Lee (@l33d0hyun) von PK Security

WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)

Eintrag am 22. Dezember 2023 aktualisiert

WebKit

Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) von Cross Republic und Jie Ding(@Lime) vom HKUS3 Lab

Eintrag am 22. Dezember 2023 aktualisiert

WebKit

Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) und Jong Seong Kim(@nevul37)

Eintrag am 22. Dezember 2023 aktualisiert

WebKit

Verfügbar für: Verfügbar für: Mac Studio (2022 und neuer), iMac (2019 und neuer), Mac Pro (2019 und neuer), Mac mini (2018 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2018 und neuer) und iMac Pro (2017)

Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell gegen Versionen von iOS vor iOS 16.7 aktiv ausgenutzt wurde.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak von The Citizen Lab an der Munk School der University of Toronto und Maddie Stone von der Threat Analysis Group von Google

WebKit

Auswirkung: Ein Benutzerpasswort kann von VoiceOver laut vorgelesen werden

Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston

Eintrag am 22. Dezember 2023 hinzugefügt

WebKit

Auswirkung: Ein entfernter Angreifer ist möglicherweise in der Lage, geleakte DNS-Anfragen bei aktiviertem Private Relay einzusehen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

WebKit Bugzilla: 257303
CVE-2023-40385: Anonym

Eintrag am 22. Dezember 2023 hinzugefügt

WebKit

Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen

Beschreibung: Ein Korrektheitsproblem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) und Jong Seong Kim (@nevul37) von AbyssLab

Eintrag am 22. Dezember 2023 hinzugefügt

Wi-Fi

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.

Beschreibung: Ein Speicherfehler wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2023-38610: Wang Yu von Cyberserval

Eintrag am 22. Dezember 2023 hinzugefügt

Windows Server

Auswirkung: Eine App kann unerwartet die Anmeldedaten eines Benutzers aus sicheren Textfeldern offenlegen.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-41066: Ein anonymer Forscher, Jeremy Legendre von MacEnhance und Felix Kratz

Eintrag am 22. Dezember 2023 aktualisiert

XProtectFramework

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Zusätzliche Danksagung

Airport

Wir möchten uns bei Adam M., Noah Roskin-Frazee und Professor Jason Lau (ZeroClicks.ai Lab) für die Unterstützung bedanken.

AppKit

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Apple Neural Engine

Wir möchten uns bei pattern-f (@pattern_F_) vom Ant Security Light-Year Lab für die Unterstützung bedanken.

Eintrag am 22. Dezember 2023 hinzugefügt

AppSandbox

Wir möchten uns bei Kirin (@Pwnrin) für die Unterstützung bedanken.

Archive Utility

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

Audio

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

Bluetooth

Wir möchten uns bei Jianjun Dai und Guang Gong vom 360 Vulnerability Research Institute für die Unterstützung bedanken.

Books

Wir möchten uns bei Aapo Oksman von Nixu Cybersecurity für die Unterstützung bedanken.

Eintrag am 22. Dezember 2023 hinzugefügt

Control Center

Wir möchten uns bei Yiğit Can YILMAZ (@yilmazcanyigit) für die Unterstützung bedanken.

Eintrag am 22. Dezember 2023 hinzugefügt

Core Location

Wir möchten uns bei Wouter Hennen für die Unterstützung bedanken.

CoreMedia Playback

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

CoreServices

Wir möchten uns bei Thijs Alkemade von Computest Sector 7, Wojciech Reguła (@_r3ggi) von SecuRing und einem anonymen Forscher für die Unterstützung bedanken.

Eintrag am 22. Dezember 2023 hinzugefügt

Data Detectors UI

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal für die Unterstützung bedanken.

Find My

Wir möchten uns bei Cher Scarlett für die Unterstützung bedanken.

Home

Wir möchten uns bei Jake Derouin (jakederouin.com) für die Unterstützung bedanken.

IOGraphics

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

IOUserEthernet

Wir möchten uns bei dem Certik Skyfall Team für die Unterstützung bedanken.

Eintrag am 22. Dezember 2023 hinzugefügt

Kernel

Wir möchten uns bei Bill Marczak von The Citizen Lab bei der Munk School der University of Toronto und Maddie Stone von der Threat Analysis Group bei Google sowie Xinru Chi von Pangu Lab, 永超王 für die Unterstützung bedanken.

libxml2

Wir möchten uns bei OSS-Fuzz und Ned Williamson von Google Project Zero für die Unterstützung bedanken.

libxpc

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

libxslt

Wir möchten uns bei Dohyun Lee (@l33d0hyun) von PK Security, OSS-Fuzz, Ned Williamson von Google Project Zero für die Unterstützung bedanken.

Mail

Wir möchten uns bei Taavi Eomäe von Zone Media OÜ für die Unterstützung bedanken.

Eintrag am 22. Dezember 2023 hinzugefügt

Menus

Wir möchten uns bei Matthew Denton von Google Chrome Security für die Unterstützung bedanken.

Eintrag am 22. Dezember 2023 hinzugefügt

Model I/O

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

NSURL

Wir möchten uns bei Zhanpeng Zhao (行之), 糖豆爸爸(@晴天组织) für die Unterstützung bedanken.

PackageKit

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security und einen anonymen Forscher für die Unterstützung bedanken.

Photos

Wir möchten uns bei Anatolii Kozlov, Dawid Pałuska, Kirin (@Pwnrin), Lyndon Cornelius, Paul Lurin für die Unterstützung bedanken.

Power Services

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

Eintrag am 22. Dezember 2023 hinzugefügt

Reminders

Wir möchten uns bei Paweł Szafirowski für die Unterstützung bedanken.

Safari

Wir möchten uns bei Kang Ali von Punggawa Cyber Security für die Unterstützung bedanken.

Sandbox

Wir möchten uns bei Yiğit Can YILMAZ (@yilmazcanyigit) für die Unterstützung bedanken.

SharedFileList

Wir möchten uns bei Christopher Lopez – @L0Psec und Kandji, Leo Pitt von Zoom Video Communications, Masahiro Kawada (@kawakatz) von GMO Cybersecurity by Ierae und Ross Bingham (@PwnDexter) für die Unterstützung bedanken.

Eintrag am 22. Dezember 2023 aktualisiert

Shortcuts

Wir möchten uns bei folgenden Personen für die Unterstützung bedanken: Alfie CG, Christian Basting vom Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca von der „Tudor Vianu“ National High School of Computer Science, Rumänien, Giorgos Christodoulidis, Jubaer Alnazi von der TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) und Matthew Butler.

Eintrag am Mittwoch, 24. April 2024 aktualisiert

Software Update

Wir möchten uns bei Omar Siman für die Unterstützung bedanken.

Spotlight

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal, Dawid Pałuska für die Unterstützung bedanken.

StorageKit

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

Video Apps

Wir möchten uns bei James Duffy (mangoSecure) für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Khiem Tran und Narendra Bhati von Suma Soft Pvt. Ltd., Pune (Indien) und einem anonymen Forscher für die Unterstützung bedanken.

WebRTC

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Wi-Fi

Wir möchten uns bei Adam M. und Wang Yu von Cyberserval für die Unterstützung bedanken.

Eintrag am 22. Dezember 2023 aktualisiert

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: 29. April 2024

Informationen zum Sicherheitsinhalt von macOS Sonoma 14

Informationen zu Apple-Sicherheitsupdates

macOS Sonoma 14

Zusätzliche Danksagung

Starten einer Diskussion in der Apple Support Community