Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Ventura 13.6
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Ventura 13.6.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
macOS Ventura 13.6
Κυκλοφόρησε στις 21 Σεπτεμβρίου 2023
Apple Neural Engine
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) της Baidu Security
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Apple Neural Engine
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Apple Neural Engine
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-40410: Tim Michaud (@TimGMichaud) της Moveworks.ai
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Ask to Buy
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-38612: Chris Ross (Zoom)
Η καταχώριση προστέθηκε στις 22 Δεκεμβρίου 2023
Biometric Authentication
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2023-41232: Liang Wei της PixiePoint Security
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
ColorSync
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης αυθαίρετων αρχείων
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-40406: JeongOhKyea της Theori
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
CoreAnimation
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-40420: 이준성(Junsung Lee) της Cross Republic
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Kernel
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd.
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Kernel
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας εισβολέας που έχει ήδη πραγματοποιήσει επιτυχώς εκτέλεση κώδικα πυρήνα ενδέχεται να μπορεί να παρακάμψει τα μέτρα αντιμετώπισης της μνήμης πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-41981: Linus Henze της Pinauten GmbH (pinauten.de)
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Kernel
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS πριν από το iOS 16.7.
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-41992: Bill Marczak του Citizen Lab στο Munk School του University of Toronto και Maddie Stone του Google Threat Analysis Group
libxpc
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη
Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2023-41073: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com)
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
libxpc
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαγράψει αρχεία για τα οποία δεν έχει δικαιώματα
Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.
CVE-2023-40454: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com)
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
libxslt
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) της PK Security
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Maps
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.
CVE-2023-40427: Adam M. και Wojciech Regula της SecuRing (wojciechregula.blog)
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Pro Res
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-41063: Certik Skyfall Team
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Sandbox
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα αντικατάστασης αυθαίρετων αρχείων
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Sandbox
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Οι εφαρμογές που αποτυγχάνουν στους ελέγχους επαλήθευσης ενδέχεται παρ' όλα αυτά να εκκινηθούν
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-41996: Yiğit Can YILMAZ (@yilmazcanyigit) και Mickey Jin (@patch1t)
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Security
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει επικύρωση υπογραφής. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS πριν από το iOS 16.7.
Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα επικύρωσης πιστοποιητικού.
CVE-2023-41991: Bill Marczak του Citizen Lab στο Munk School του University of Toronto και Maddie Stone του Google Threat Analysis Group
Share Sheet
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να έχει πρόσβαση σε ευαίσθητα δεδομένα που καταγράφονται όταν ένας χρήστης κοινοποιεί έναν σύνδεσμο
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-41070: Kirin (@Pwnrin)
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
StorageKit
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης αυθαίρετων αρχείων
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.
CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Επιπλέον αναγνώριση
Apple Neural Engine
Θα θέλαμε να ευχαριστήσουμε τον pattern-f (@pattern_F_) της Security Light-Year Lab για τη βοήθειά του.
Η καταχώριση προστέθηκε στις 22 Δεκεμβρίου 2023
AppSandbox
Θα θέλαμε να ευχαριστήσουμε τον χρήστη Kirin (@Pwnrin) για τη βοήθειά του.
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Kernel
Θα θέλαμε να ευχαριστήσουμε τον Bill Marczak του The Citizen Lab στο The University of Toronto's Munk School και τη Maddie Stone του Google's Threat Analysis Group για τη βοήθειά τους.
libxml2
Θα θέλαμε να ευχαριστήσουμε τους OSS-Fuzz και Ned Williamson του Google Project Zero για τη βοήθειά τους.
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
WebKit
Θα θέλαμε να ευχαριστήσουμε τους Khiem Tran και Narendra Bhati από τη Suma Soft Pvt. Ltd, Pune (Ινδία) για τη βοήθειά τους.
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
WebRTC
Θα θέλαμε να ευχαριστήσουμε έναν ανώνυμο ερευνητή για τη βοήθειά του.
Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.