Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Ventura 13.3

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

Κυκλοφόρησε στις 27 Μαρτίου 2023

AMD

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή στη μνήμη πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.

CVE-2023-32436: ABC Research s.r.o.

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2023

AMD

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή στη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-27968: ABC Research s.r.o.

CVE-2023-28209: ABC Research s.r.o.

CVE-2023-28210: ABC Research s.r.o.

CVE-2023-28211: ABC Research s.r.o.

CVE-2023-28212: ABC Research s.r.o.

CVE-2023-28213: ABC Research s.r.o.

CVE-2023-28214: ABC Research s.r.o.

CVE-2023-28215: ABC Research s.r.o.

CVE-2023-32356: ABC Research s.r.o.

Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023

Apple Neural Engine

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-23532: Mohamed Ghannam (@_simo36)

AppleMobileFileIntegrity

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-23527: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2023-27931: Mickey Jin (@patch1t)

AppleScript

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου δυαδικού αρχείου AppleScript μπορεί να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-28179: Mickey Jin (@patch1t)

Η καταχώριση προστέθηκε την 1η Αυγούστου 2023

App Store

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2023-42830: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023

Archive Utility

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια αρχειοθήκη ενδέχεται να μπορεί να παρακάμψει το Gatekeeper

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-27951: Brandon Dalton (@partyD0lphin) της Red Canary, Chan Shue Long και Csaba Fitzl (@theevilbit) της Offensive Security

Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023

Calendar

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η εισαγωγή μιας κακόβουλης πρόσκλησης ημερολογίου ενδέχεται να οδηγήσει σε διαρροή των πληροφοριών του χρήστη

Περιγραφή: Πολλά προβλήματα επικύρωσης αντιμετωπίστηκαν με τη βελτίωση της εξυγίανσης εισόδου.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023

Camera

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή σε sandbox ενδέχεται να μπορεί να προσδιορίσει ποια εφαρμογή χρησιμοποιεί την κάμερα τη δεδομένη στιγμή

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με πρόσθετους περιορισμούς σχετικά με την παρατηρησιμότητα των καταστάσεων της εφαρμογής.

CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)

Carbon Core

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-23534: Mickey Jin (@patch1t)

ColorSync

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης αυθαίρετων αρχείων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-27955: JeongOhKyea

CommCenter

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή στη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-27936: Tingting Yin του Tsinghua University

CoreCapture

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-28181: Tingting Yin του Tsinghua University

Crash Reporter

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-32426: Junoh Lee της Theori

Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023

curl

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Πολλαπλά προβλήματα στο curl

Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με την ενημέρωση του curl.

CVE-2022-43551

CVE-2022-43552

dcerpc

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα εκκίνησης μνήμης αντιμετωπίστηκε.

CVE-2023-27934: Aleksandar Nikolic της Cisco Talos

Η καταχώριση ενημερώθηκε στις 8 Ιουνίου 2023

dcerpc

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένας χρήστης σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-28180: Aleksandar Nikolic της Cisco Talos

dcerpc

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένας απομακρυσμένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.

CVE-2023-27935: Aleksandar Nikolic της Cisco Talos

dcerpc

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-27953: Aleksandar Nikolic της Cisco Talos

CVE-2023-27958: Aleksandar Nikolic της Cisco Talos

DesktopServices

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-40433: Mikko Kenttälä (@Turmio_ ) της SensorFu

Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023

FaceTime

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα απορρήτου αντιμετωπίστηκε με τη μετακίνηση ευαίσθητων δεδομένων σε πιο ασφαλή θέση.

CVE-2023-28190: Joshua Jones

Find My

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2023-23537: Adam M.

CVE-2023-28195: Adam M.

Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023 και ενημερώθηκε στις 21 Δεκεμβρίου 2023

FontParser

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-27956: Ye Zhang (@VAR10CK) της Baidu Security

Η καταχώριση ενημερώθηκε στις 31 Οκτωβρίου 2023

FontParser

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία ενός αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-32366: Ye Zhang (@VAR10CK) της Baidu Security

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2023

Foundation

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου plist μπορεί να οδηγήσει σε απρόσμενο τερματισμό εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2023-27937: ένας ανώνυμος ερευνητής

iCloud

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένα αρχείο από έναν κοινόχρηστο φάκελο με εμένα στο iCloud ενδέχεται να μπορεί να παρακάμψει το Gatekeeper

Περιγραφή: Αυτό αντιμετωπίστηκε με πρόσθετους ελέγχους από το Gatekeeper σε αρχεία που έχουν ληφθεί από έναν κοινόχρηστο φάκελο με εμένα στο iCloud.

CVE-2023-23526: Jubaer Alnazi του TRS Group of Companies

Identity Services

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση στις πληροφορίες σχετικά με τις επαφές ενός χρήστη

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2023-27928: Csaba Fitzl (@theevilbit) της Offensive Security

ImageIO

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-27939: jzhu σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

CVE-2023-27947: Meysam Firouzi @R00tkitSMM του Mbition Mercedes-Benz Innovation Lab

CVE-2023-27948: Meysam Firouzi (@R00tkitSMM) του Mbition Mercedes-Benz Innovation Lab

CVE-2023-42862: Meysam Firouzi (@R00tkitSMM) του Mbition Mercedes-Benz Innovation Lab

CVE-2023-42865: jzhu σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro και Meysam Firouzi (@R00tkitSMM) του Mbition Mercedes-Benz Innovation Lab

Η καταχώριση προστέθηκε στις 1 Αυγούστου 2023 και ενημερώθηκε στις 21 Δεκεμβρίου 2023

ImageIO

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-23535: ryuzaki

ImageIO

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) του Mbition Mercedes-Benz Innovation Lab και jzhu σε συνεργασία με το Trend Micro Zero Day Initiative

ImageIO

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2023-27946: Mickey Jin (@patch1t)

ImageIO

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-27957: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2023-32378: Murray Mike

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2023

Kernel

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένας χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd.

Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023

Kernel

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα

Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-27941: Arsenii Kostromin (0x3c3e)

CVE-2023-28199: Arsenii Kostromin (0x3c3e)

Η καταχώριση προστέθηκε την 1η Αυγούστου 2023 και ενημερώθηκε στις 31 Οκτωβρίου 2023

Kernel

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.

CVE-2023-23536: Félix Poulin-Bélanger και David Pan Ogea

Η καταχώριση προστέθηκε την 1η Μαΐου 2023, ενημερώθηκε στις 31 Οκτωβρίου 2023

Kernel

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2023-23514: Xinru Chi του Pangu Lab και Ned Williamson του Google Project Zero

CVE-2023-27969: Adam Doupé της ASU SEFCOM

Kernel

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή με προνόμια ρίζας ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-27933: sqrtpwn

Kernel

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2023-28200: Arsenii Kostromin (0x3c3e)

LaunchServices

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Αρχεία που έχουν ληφθεί από το διαδίκτυο ενδέχεται να μην έχουν εφαρμοσμένο τον ενδείκτη καραντίνας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-27943: ένας ανώνυμος ερευνητής, Brandon Dalton (@partyD0lphin) της Red Canary, Milan Tenk και Arthur Valiev της F-Secure Corporation

Η καταχώριση ενημερώθηκε στις 31 Οκτωβρίου 2023

LaunchServices

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-23525: Mickey Jin (@patch1t)

libc

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2023-40383: Mickey Jin (@patch1t)

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2023

libpthread

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπων αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-41075: Zweig του Kunlun Lab

Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023

Mail

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προβάλει ευαίσθητες πληροφορίες

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-28189: Mickey Jin (@patch1t)

Η καταχώριση προστέθηκε την 1η Μαΐου 2023

Messages

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.

CVE-2023-28197: Joshua Jones

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2023

Model I/O

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-27950: Mickey Jin (@patch1t)

Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023

Model I/O

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-27949: Mickey Jin (@patch1t)

NetworkExtension

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένας χρήστης με προνομιακή θέση δικτύου ενδέχεται να μπορεί να εξαπατήσει έναν διακομιστή VPN ότι έχει διαμορφωθεί με έλεγχο ταυτότητας μόνο EAP σε μια συσκευή

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο ταυτότητας.

CVE-2023-28182: Zhuowei Zhang

PackageKit

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-23538: Mickey Jin (@patch1t)

CVE-2023-27962: Mickey Jin (@patch1t)

Photos

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Οι φωτογραφίες που ανήκουν στο Άλμπουμ κρυφών φωτογραφιών ενδέχεται να μπορούν να προβληθούν χωρίς έλεγχο ταυτότητας μέσω της Οπτικής αναζήτησης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2023-23523: developStorm

Podcasts

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-27942: Mickey Jin (@patch1t)

Quick Look

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένας ιστότοπος ενδέχεται να μπορεί να παρακολουθεί ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Ο χειρισμός σφαλμάτων άλλαξε ώστε να μην αποκαλύπτονται ευαίσθητες πληροφορίες.

CVE-2023-32362: Khiem Tran

Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023

Safari

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2023-27952: Csaba Fitzl (@theevilbit) της Offensive Security

Sandbox

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa της FFRI Security, Inc. και Csaba Fitzl (@theevilbit) της Offensive Security

Sandbox

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

SharedFileList

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-27966: Masahiro Kawada (@kawakatz) της GMO Cybersecurity by Ierae

Η καταχώριση προστέθηκε την 1η Μαΐου 2023, ενημερώθηκε την 1η Αυγούστου 2023

Shortcuts

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να χρησιμοποιεί ευαίσθητα δεδομένα με συγκεκριμένες ενέργειες χωρίς προτροπή προς τον χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με επιπλέον ελέγχους δικαιωμάτων.

CVE-2023-27963: Jubaer Alnazi Jabin του TRS Group Of Companies και Wenchao Li και Xiaolong Bai του Alibaba Group

System Settings

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2023-23542: Adam M.

Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023

System Settings

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2023-28192: Guilherme Rambo της Best Buddy Apps (rambo.codes)

TCC

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2023-27931: Mickey Jin (@patch1t)

TextKit

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένας απομακρυσμένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2023-28188: Xin Huang (@11iaxH)

Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023

Vim

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Πολλαπλά προβλήματα στο Vim

Περιγραφή: Πολλαπλά προβλήματα αντιμετωπίστηκαν με την ενημέρωση στην έκδοση Vim 9.0.1191.

CVE-2023-0049

CVE-2023-0051

CVE-2023-0054

CVE-2023-0288

CVE-2023-0433

CVE-2023-0512

WebKit

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ο αποκλεισμός τομέων με χαρακτήρες μπαλαντέρ από την Πολιτική ασφάλειας περιεχομένου ενδέχεται να αποτύχει

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken από την ομάδα imec-DistriNet του KU Leuven

Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023

WebKit

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε την 1η Αυγούστου 2023

WebKit

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS που κυκλοφόρησαν πριν από το iOS 15.7.

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) και Valentin Pashkov της Kaspersky

Η καταχώριση προστέθηκε στις 21 Ιουνίου 2023, ενημερώθηκε την 1η Αυγούστου 2023

WebKit

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να παρακάμψει την πολιτική ίδιας προέλευσης

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2023-27932: ένας ανώνυμος ερευνητής

WebKit

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένας ιστότοπος ενδέχεται να μπορεί να παρακολουθεί ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με την κατάργηση των πληροφοριών προέλευσης.

CVE-2023-27954: ένας ανώνυμος ερευνητής

WebKit

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία ενός αρχείου μπορεί να οδηγήσει σε άρνηση υπηρεσίας ή ενδεχομένως να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

WebKit Bugzilla: 249434
CVE-2014-1745: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023

WebKit PDF

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπων αντιμετωπίστηκε με βελτιωμένους ελέγχους.

WebKit Bugzilla: 249169
CVE-2023-32358: Ανώνυμος σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε την 1η Αυγούστου 2023

WebKit Web Inspector

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2023-28201: Dohyun Lee (@l33d0hyun) και crixer (@pwning_me) του SSD Labs

Η καταχώριση προστέθηκε την 1η Μαΐου 2023

XPC

Διατίθεται για: macOS Ventura

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με νέα δικαιώματα.

CVE-2023-27944: Mickey Jin (@patch1t)

Activation Lock

Θα θέλαμε να ευχαριστήσουμε τον Christian Mina για τη βοήθειά του.

AppleMobileFileIntegrity

Θα θέλαμε να ευχαριστήσουμε τον Wojciech Reguła (@_r3ggi) της SecuRing για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023

AppleScript

Θα θέλαμε να ευχαριστήσουμε τον Mickey Jin (@patch1t) για τη βοήθειά του.

Calendar UI

Θα θέλαμε να ευχαριστήσουμε τον Rafi Andhika Galuh (@rafipiun) για τη βοήθειά του.

Η καταχώριση προστέθηκε την 1η Αυγούστου 2023

CFNetwork

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

Control Center

Θα θέλαμε να ευχαριστήσουμε τον Adam M. για τη βοήθειά του.

Η καταχώριση ενημερώθηκε στις 21 Δεκεμβρίου 2023

CoreServices

Θα θέλαμε να ευχαριστήσουμε τον Mickey Jin (@patch1t) για τη βοήθειά του.

dcerpc

Θα θέλαμε να ευχαριστήσουμε τον Aleksandar Nikolic της Cisco Talos για τη βοήθειά του.

FaceTime

Θα θέλαμε να ευχαριστήσουμε τον Sajan Karki για τη βοήθειά του.

file_cmds

Θα θέλαμε να ευχαριστήσουμε τον Lukas Zronek για τη βοήθειά του.

File Quarantine

Θα θέλαμε να ευχαριστήσουμε τον Koh M. Nakagawa της FFRI Security, Inc. για τη βοήθειά του.

Η καταχώριση προστέθηκε την 1η Μαΐου 2023

Git

Θα θέλαμε να ευχαριστήσουμε για τη βοήθειά τους.

Heimdal

Θα θέλαμε να ευχαριστήσουμε τον Evgeny Legerov για τη βοήθειά του.

ImageIO

Θα θέλαμε να ευχαριστήσουμε τον Meysam Firouzi @R00tkitSMM για τη βοήθειά του.

Mail

Θα θέλαμε να ευχαριστήσουμε τους Chen Zhang, Fabian Ising του FH Münster University of Applied Sciences, Damian Poddebniak του FH Münster University of Applied Sciences, Tobias Kappert του Münster University of Applied Sciences, Christoph Saatjohann του Münster University of Applied Sciences, Sebast και Merlin Chlosta του CISPA Helmholtz Center for Information Security για τη βοήθειά τους.

NSOpenPanel

Θα θέλαμε να ευχαριστήσουμε τον Alexandre Colucci (@timacfr) για τη βοήθειά του.

Password Manager

Θα θέλαμε να ευχαριστήσουμε τους OCA Creations LLC και Sebastian S. Andersen για τη βοήθειά τους.

Η καταχώριση προστέθηκε την 1η Μαΐου 2023

quarantine

Θα θέλαμε να ευχαριστήσουμε τον Koh M. Nakagawa της FFRI Security, Inc. για τη βοήθειά του.

Safari Downloads

Θα θέλαμε να ευχαριστήσουμε τον Andrew Gonzalez για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

WebKit Web Inspector

Θα θέλαμε να ευχαριστήσουμε τους Dohyun Lee (@l33d0hyun) και crixer (@pwning_me) των SSD Labs για τη βοήθειά τους.

Wi-Fi

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.