Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
macOS Ventura 13.4
Κυκλοφόρησε στις 18 Μαΐου 2023
Accessibility
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Τα δικαιώματα και οι άδειες απορρήτου που έχουν εκχωρηθεί σε αυτή την εφαρμογή ενδέχεται να χρησιμοποιηθούν από μια κακόβουλη εφαρμογή
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορέσει να διαρρεύσει διευθύνσεις email χρήστη
Περιγραφή: Αυτό το πρόβλημα δικαιωμάτων αντιμετωπίστηκε μέσω βελτιωμένης απόκρυψης ευαίσθητων πληροφοριών.
CVE-2023-34352: Sergii Kryvoblotskyi του MacPaw Inc.
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
AMD
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-32379: ABC Research s.r.o.
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
AppleMobileFileIntegrity
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εισαγάγει κώδικα σε ευαίσθητα δυαδικά αρχεία που συνοδεύουν το Xcode
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε επιβάλλοντας ενισχυμένο περιβάλλον εκτέλεσης στα επηρεαζόμενα δυαδικά αρχεία σε επίπεδο συστήματος.
CVE-2023-32383: James Duffy (mangoSecure)
Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023
Associated Domains
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32371: James Duffy (mangoSecure)
Contacts
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει τη δυνατότητα να δει μη προστατευμένα δεδομένα χρηστών
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένο χειρισμό προσωρινών αρχείων.
CVE-2023-32386: Kirin (@Pwnrin)
Core Location
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.
CVE-2023-32399: Adam M.
Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023
CoreServices
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη απάλειψη ευαίσθητων πληροφοριών.
CVE-2023-28191: Mickey Jin (@patch1t)
CUPS
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας χρήστης για τον οποίο δεν έχει πραγματοποιηθεί έλεγχος ταυτότητας ενδέχεται να έχει πρόσβαση σε πρόσφατα εκτυπωμένα έγγραφα
Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2023-32360: Gerhard Muth
dcerpc
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2023-32387: Δημήτριος Τάτσης της Cisco Talos
DesktopServices
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32414: Mickey Jin (@patch1t)
Face Gallery
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας εισβολέας με φυσική πρόσβαση σε ένα κλειδωμένο Apple Watch ενδέχεται να μπορεί να προβάλει φωτογραφίες ή επαφές χρήστη μέσω δυνατοτήτων προσβασιμότητας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τον περιορισμό των επιλογών που διατίθενται σε μια κλειδωμένη συσκευή.
CVE-2023-32417: Zitong Wu (吴梓桐) του Zhuhai No.1 High School (珠海市第一中学)
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
GeoServices
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2023-32392: Adam M.
Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023
ImageIO
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-32372: Meysam Firouzi @R00tkitSMM του Mbition Mercedes-Benz Innovation Lab σε συνεργασία με το Trend Micro Zero Day Initiative
Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023
ImageIO
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
IOSurface
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητη κατάσταση πυρήνα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
IOSurfaceAccelerator
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό του συστήματος ή να πραγματοποιήσει ανάγνωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-32420: CertiK SkyFall Team και Linus Henze της Pinauten GmbH (pinauten.de)
Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023
Kernel
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπων αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-27930: 08Tc3wBB της Jamf
Kernel
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή στο sandbox ενδέχεται να μπορεί να παρατηρεί συνδέσεις δικτύου σε ολόκληρο το σύστημα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με επιπλέον ελέγχους δικαιωμάτων.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2023-32398: Adam Doupé της ASU SEFCOM
Kernel
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) της Synacktiv (@Synacktiv) σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
LaunchServices
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) της SecuRing (wojciechregula.blog)
libxml2
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Πολλαπλά προβλήματα στο libxml2
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.
CVE-2023-29469: OSS-Fuzz, Ned Williamson του Google Project Zero
CVE-2023-42869: OSS-Fuzz, Ned Williamson του Google Project Zero
Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023
libxpc
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-32369: Jonathan Bar Or της Microsoft, Anurag Bohra της Microsoft και Michael Pearse της Microsoft
libxpc
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32405: Thijs Alkemade (@xnyhps) της Computest Sector 7
MallocStackLogging
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό αρχείων.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
Metal
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία ενός τρισδιάστατου μοντέλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-32368: Mickey Jin (@patch1t)
CVE-2023-32375: Michael DePlante (@izobashi) της πρωτοβουλίας Zero Day Initiative της Trend Micro
CVE-2023-32382: Mickey Jin (@patch1t)
Model I/O
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία ενός τρισδιάστατου μοντέλου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη απάλειψη ευαίσθητων πληροφοριών.
CVE-2023-32403: Adam M.
Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023
NSURLSession
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιώσεις στο πρωτόκολλο χειρισμού αρχείων.
CVE-2023-32437: Thijs Alkemade της Computest Sector 7
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
PackageKit
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-32355: Mickey Jin (@patch1t)
PDFKit
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Το άνοιγμα ενός αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-32385: Jonathan Fritz
Perl
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Photos
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Οι φωτογραφίες που ανήκουν στο Άλμπουμ κρυφών φωτογραφιών ενδέχεται να μπορούν να προβληθούν χωρίς έλεγχο ταυτότητας μέσω της Οπτικής αναζήτησης
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32390: Julian Szulc
Quick Look
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η ανάλυση ενός εγγράφου office μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2023-32401: Holger Fuhrmannek της Deutsche Telekom Security GmbH εκ μέρους της BSI (Ομοσπονδιακή Υπηρεσία Κυβερνοασφάλειας της Γερμανίας)
Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023
Sandbox
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διατηρήσει την πρόσβαση σε αρχεία διαμόρφωσης συστήματος ακόμη και μετά την ανάκληση της άδειά της
Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa της FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) και Csaba Fitzl (@theevilbit) της Offensive Security
Screen Saver
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με την αφαίρεση του ευάλωτου κώδικα και την προσθήκη επιπλέον ελέγχων.
CVE-2023-32363: Mickey Jin (@patch1t)
Security
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.
CVE-2023-32367: James Duffy (mangoSecure)
Share Sheet
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένο χειρισμό προσωρινών αρχείων.
CVE-2023-32432: Kirin (@Pwnrin)
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
Shell
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να χρησιμοποιεί ευαίσθητα δεδομένα με συγκεκριμένες ενέργειες χωρίς προτροπή προς τον χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32391: Wenchao Li και Xiaolong Bai της Alibaba Group
Shortcuts
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.
CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com) και ένας ανώνυμος ερευνητής
Siri
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια συσκευή ενδέχεται να μπορεί να προβάλει πληροφορίες επαφών από την οθόνη κλειδώματος
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32394: Khiem Tran
SQLite
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με την προσθήκη επιπλέον περιορισμών καταγραφής SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) και Wojciech Reguła της SecuRing (wojciechregula.blog)
Η καταχώριση ενημερώθηκε στις 2 Ιουνίου 2023
StorageKit
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
sudo
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με την ενημέρωση του sudo.
CVE-2023-22809
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
System Settings
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια ρύθμιση τείχους προστασίας εφαρμογής ενδέχεται να μην τεθεί σε ισχύ μετά το κλείσιμο της εφαρμογής Ρυθμίσεις
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-28202: Satish Panduranga και ένας ανώνυμος ερευνητής
Telephony
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2023-32412: Ivan Fratric του Google Project Zero
TV App
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.
CVE-2023-32408: Adam M.
Weather
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη απάλειψη ευαίσθητων πληροφοριών.
CVE-2023-32415: Wojciech Regula της SecuRing (wojciechregula.blog) και ένας ανώνυμος ερευνητής
WebKit
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)
Η καταχώριση ενημερώθηκε στις 21 Δεκεμβρίου 2023
WebKit
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαφύγει από το sandbox περιεχομένου ιστού. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne του Threat Analysis Group της Google και Donncha Ó Cearbhaill του Security Lab της Διεθνούς Αμνηστίας
WebKit
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
WebKit Bugzilla: 254930
CVE-2023-28204: ένας ανώνυμος ερευνητής
Αυτό το πρόβλημα αντιμετωπίστηκε αρχικά στη Γρήγορη απόκριση ασφαλείας του macOS 13.3.1 (a).
WebKit
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
WebKit Bugzilla: 254840
CVE-2023-32373: ένας ανώνυμος ερευνητής
Αυτό το πρόβλημα αντιμετωπίστηκε αρχικά στη Γρήγορη απόκριση ασφαλείας του macOS 13.3.1 (a).
Wi-Fi
Διατίθεται για: macOS Ventura
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη απάλειψη ευαίσθητων πληροφοριών.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd.
Επιπλέον αναγνώριση
Accounts
Θα θέλαμε να ευχαριστήσουμε τον Sergii Kryvoblotskyi της MacPaw Inc. για τη βοήθειά του.
CloudKit
Θα θέλαμε να ευχαριστήσουμε τον χρήστη Iconic για τη βοήθειά του.
Find My
Θα θέλαμε να ευχαριστήσουμε τους Abhinav Thakur, Artem Starovoitov, Hodol K και έναν ανώνυμο ερευνητή για τη βοήθειά τους.
Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023
libxml2
Θα θέλαμε να ευχαριστήσουμε τους OSS-Fuzz και Ned Williamson του Google Project Zero για τη βοήθειά τους.
Reminders
Θα θέλαμε να ευχαριστήσουμε τον χρήστη Kirin (@Pwnrin) για τη βοήθειά του.
Rosetta
Θα θέλαμε να ευχαριστήσουμε τον Koh M. Nakagawa της FFRI Security, Inc. για τη βοήθειά του.
Safari
Θα θέλαμε να ευχαριστήσουμε τον Khiem Tran (databaselog.com) για τη βοήθειά του.
Η καταχώριση ενημερώθηκε στις 21 Δεκεμβρίου 2023
Security
Θα θέλαμε να ευχαριστήσουμε τον Brandon Toms για τη βοήθειά του.
Share Sheet
Θα θέλαμε να ευχαριστήσουμε τον χρήστη Kirin (@Pwnrin) για τη βοήθειά του.
Wallet
Θα θέλαμε να ευχαριστήσουμε τον James Duffy (mangoSecure) για τη βοήθειά του.
WebRTC
Θα θέλαμε να ευχαριστήσουμε τον Dohyun Lee (@l33d0hyun) της PK Security και έναν ανώνυμο ερευνητή για τη βοήθειά τους.
Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023
Wi-Fi
Θα θέλαμε να ευχαριστήσουμε τον Adam M. για τη βοήθειά του.
Η καταχώριση ενημερώθηκε στις 21 Δεκεμβρίου 2023