Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Ventura 13.6

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Ventura 13.6.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Ventura 13.6

Κυκλοφόρησε στις 21 Σεπτεμβρίου 2023

Apple Neural Engine

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) της Baidu Security

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Apple Neural Engine

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2023-41071: Mohamed GHANNAM (@_simo36)

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Apple Neural Engine

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-40410: Tim Michaud (@TimGMichaud) της Moveworks.ai

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Ask to Buy

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-38612: Chris Ross (Zoom)

Η καταχώριση προστέθηκε στις 22 Δεκεμβρίου 2023

Biometric Authentication

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2023-41232: Liang Wei της PixiePoint Security

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

ColorSync

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης αυθαίρετων αρχείων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-40406: JeongOhKyea της Theori

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

CoreAnimation

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-40420: 이준성(Junsung Lee) της Cross Republic

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Kernel

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd.

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Kernel

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένας εισβολέας που έχει ήδη πραγματοποιήσει επιτυχώς εκτέλεση κώδικα πυρήνα ενδέχεται να μπορεί να παρακάμψει τα μέτρα αντιμετώπισης της μνήμης πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-41981: Linus Henze της Pinauten GmbH (pinauten.de)

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Kernel

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS πριν από το iOS 16.7.

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-41992: Bill Marczak του Citizen Lab στο Munk School του University of Toronto και Maddie Stone του Google Threat Analysis Group

libxpc

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2023-41073: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com)

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

libxpc

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαγράψει αρχεία για τα οποία δεν έχει δικαιώματα

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2023-40454: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com)

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

libxslt

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) της PK Security

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Maps

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.

CVE-2023-40427: Adam M. και Wojciech Regula της SecuRing (wojciechregula.blog)

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Pro Res

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-41063: Certik Skyfall Team

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Sandbox

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα αντικατάστασης αυθαίρετων αρχείων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Sandbox

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Οι εφαρμογές που αποτυγχάνουν στους ελέγχους επαλήθευσης ενδέχεται παρ' όλα αυτά να εκκινηθούν

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-41996: Yiğit Can YILMAZ (@yilmazcanyigit) και Mickey Jin (@patch1t)

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Security

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει επικύρωση υπογραφής. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS πριν από το iOS 16.7.

Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα επικύρωσης πιστοποιητικού.

CVE-2023-41991: Bill Marczak του Citizen Lab στο Munk School του University of Toronto και Maddie Stone του Google Threat Analysis Group

Share Sheet

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να έχει πρόσβαση σε ευαίσθητα δεδομένα που καταγράφονται όταν ένας χρήστης κοινοποιεί έναν σύνδεσμο

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-41070: Kirin (@Pwnrin)

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

StorageKit

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης αυθαίρετων αρχείων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

 

Επιπλέον αναγνώριση

Apple Neural Engine

Θα θέλαμε να ευχαριστήσουμε τον pattern-f (@pattern_F_) της Security Light-Year Lab για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 22 Δεκεμβρίου 2023

AppSandbox

Θα θέλαμε να ευχαριστήσουμε τον χρήστη Kirin (@Pwnrin) για τη βοήθειά του.

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Kernel

Θα θέλαμε να ευχαριστήσουμε τον Bill Marczak του The Citizen Lab στο The University of Toronto's Munk School και τη Maddie Stone του Google's Threat Analysis Group για τη βοήθειά τους.

libxml2

Θα θέλαμε να ευχαριστήσουμε τους OSS-Fuzz και Ned Williamson του Google Project Zero για τη βοήθειά τους.

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Khiem Tran και Narendra Bhati από τη Suma Soft Pvt. Ltd, Pune (Ινδία) για τη βοήθειά τους.

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

WebRTC

Θα θέλαμε να ευχαριστήσουμε έναν ανώνυμο ερευνητή για τη βοήθειά του.

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

 

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: