Tietoja macOS Sonoma 14.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Sonoma 14.2:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Sonoma 14.2
Julkaistu 11.12.2023
Accessibility
Saatavuus: macOS Sonoma
Vaikutus: suojatut tekstikentät saattoivat näkyä käyttöapunäppäimistön kautta, kun käytössä oli fyysinen näppäimistö.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-42874: Don Clarke
Accessibility
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-42937: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)
Kohta lisätty 22.1.2024
Accounts
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-42894: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)
AppleGraphicsControl
Saatavuus: macOS Sonoma
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2023-42901: Ivan Fratric (Google Project Zero)
CVE-2023-42902: Ivan Fratric (Google Project Zero) ja Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
CVE-2023-42912: Ivan Fratric (Google Project Zero)
CVE-2023-42903: Ivan Fratric (Google Project Zero)
CVE-2023-42904: Ivan Fratric (Google Project Zero)
CVE-2023-42905: Ivan Fratric (Google Project Zero)
CVE-2023-42906: Ivan Fratric (Google Project Zero)
CVE-2023-42907: Ivan Fratric (Google Project Zero)
CVE-2023-42908: Ivan Fratric (Google Project Zero)
CVE-2023-42909: Ivan Fratric (Google Project Zero)
CVE-2023-42910: Ivan Fratric (Google Project Zero)
CVE-2023-42911: Ivan Fratric (Google Project Zero)
CVE-2023-42926: Ivan Fratric (Google Project Zero)
AppleVA
Saatavuus: macOS Sonoma
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42882: Ivan Fratric (Google Project Zero)
AppleVA
Saatavuus: macOS Sonoma
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42881: Ivan Fratric (Google Project Zero)
Kohta lisätty 12.12.2023
Archive Utility
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: ongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-42896: Mickey Jin (@patch1t)
Kohta lisätty 22.3.2024
AVEVideoEncoder
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.
CVE-2023-42884: nimetön tutkija
Bluetooth
Saatavuus: macOS Sonoma
Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä syöttämään näppäinpainalluksia väärentämällä näppäimistön.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-45866: Marc Newlin (SkySafe)
CoreMedia Playback
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42900: Mickey Jin (@patch1t)
CoreServices
Saatavuus: macOS Sonoma
Vaikutus: käyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
curl
Saatavuus: macOS Sonoma
Vaikutus: curlissa oli useita ongelmia.
Kuvaus: useita ongelmia on ratkaistu päivittämällä curlin versioon 8.4.0.
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
Kohta lisätty 22.1.2024, päivitetty 13.2.2024
DiskArbitration
Saatavuus: macOS Sonoma
Vaikutus: Prosessi saattoi saada ylläpitäjän oikeudet ilman asianmukaista todennusta.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42931: Yann GASCUEL (Alter Solutions)
Kohta lisätty 22.3.2024
FileURL
Saatavuus: macOS Sonoma
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-42892: Anthony Cruz (@App Tyrant Corp)
Kohta lisätty 22.3.2024
Find My
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-42922: Wojciech Regula (SecuRing, wojciechregula.blog)
ImageIO
Saatavuus: macOS Sonoma
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42898: Zhenjiang Zhao (Pangu Team), Qianxin ja Junsung Lee
CVE-2023-42899: Meysam Firouzi (@R00tkitSMM) ja Junsung Lee
Kohta päivitetty 22.3.2024
ImageIO
Saatavuus: macOS Sonoma
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42888: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
Kohta lisätty 22.1.2024
IOKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä valvomaan näppäinpainalluksia ilman käyttäjän lupaa.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-42891: nimetön tutkija
IOUSBDeviceFamily
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Kohta lisätty 22.3.2024
Kernel
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv – @Synacktiv)
Libsystem
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: Käyttöoikeusongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi ja lisäämällä tarkistuksia.
CVE-2023-42893
Kohta lisätty 22.3.2024
Model I/O
Saatavuus: macOS Sonoma
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-3618
Kohta lisätty 22.3.2024
ncurses
Saatavuus: macOS Sonoma
Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
NSOpenPanel
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2023-42887: Ron Masas (BreakPoint.sh)
Kohta lisätty 22.1.2024
Sandbox
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.
CVE-2023-42936: Csaba Fitzl (@theevilbit, OffSec)
Kohta lisätty 22.3.2024 ja päivitetty 16.7.2024
Share Sheet
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tietosuojaongelma on ratkaistu siirtämällä arkaluonteiset tiedot suojattuun sijaintiin.
CVE-2023-40390: Csaba Fitzl (@theevilbit, Offensive Security) ja Mickey Jin (@patch1t)
Kohta lisätty 22.3.2024
SharedFileList
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42842: nimetön tutkija
Shell
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Kohta lisätty 22.3.2024
System Settings
Saatavuus: macOS Sonoma
Vaikutus: etäkirjautumisistunnot saattoivat voida hankkia levyjen täyden käyttöoikeuden.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-42913: Mattie Behrens ja Joshua Jewett (@JoshJewett33)
Kohta lisätty 22.3.2024
TCC
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2023-42947: Zhongquan Li (@Guluisacat, JingDongin Dawn Security Lab)
Kohta lisätty 22.3.2024
Transparency
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla datasäilön käyttöoikeusrajoitusta.
CVE-2023-40389: Csaba Fitzl (@theevilbit, Offensive Security) ja Joshua Jewett (@JoshJewett33)
Kohta lisätty 16.7.2024
Vim
Saatavuus: macOS Sonoma
Vaikutus: haitallisen tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu päivittämällä Vim-versioon 9.0.1969.
CVE-2023-5344
WebKit
Saatavuus: macOS Sonoma
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Saatavuus: macOS Sonoma
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Saatavuus: macOS Sonoma
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute) ja rushikesh nandedkar
Kohta lisätty 22.3.2024
WebKit
Saatavuus: macOS Sonoma
Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Kohta lisätty 22.3.2024
Kiitokset
Memoji
Haluamme kiittää avusta Jerry Tenenbaumia.
WebSheet
Haluamme kiittää avusta e-phors S.p.A:n (FINCANTIERI S.p.A. -yhtiö) Paolo Ruggeroa.
Kohta lisätty 22.3.2024
Wi-Fi
Haluamme kiittää avusta Noah Roskin-Frazeeta ja Prof. J:tä (ZeroClicks.ai Lab).
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.