Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Ventura 13.3
Julkaistu 27.3.2023
AMD
Saatavuus: macOS Ventura
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-32436: ABC Research s.r.o.
Kohta lisätty 31.10.2023
AMD
Saatavuus: macOS Ventura
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-27968: ABC Research s.r.o.
CVE-2023-28209: ABC Research s.r.o.
CVE-2023-28210: ABC Research s.r.o.
CVE-2023-28211: ABC Research s.r.o.
CVE-2023-28212: ABC Research s.r.o.
CVE-2023-28213: ABC Research s.r.o.
CVE-2023-28214: ABC Research s.r.o.
CVE-2023-28215: ABC Research s.r.o.
CVE-2023-32356: ABC Research s.r.o.
Kohta lisätty 5.9.2023
Apple Neural Engine
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
AppleMobileFileIntegrity
Saatavuus: macOS Ventura
Vaikutus: käyttäjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-23527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-27931: Mickey Jin (@patch1t)
AppleScript
Saatavuus: macOS Ventura
Vaikutus: haitallisen AppleScript-binaarin käsittely saattoi aiheuttaa apin odottamattoman lopetuksen tai prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-28179: Mickey Jin (@patch1t)
Kohta lisätty 1.8.2023
App Store
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-42830: Adam M.
Kohta lisätty 21.12.2023 ja päivitetty 16.7.2024
Archive Utility
Saatavuus: macOS Ventura
Vaikutus: arkisto saattoi pystyä ohittamaan Gatekeeperin.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27951: Brandon Dalton (@partyD0lphin, Red Canary), Chan Shue Long ja Csaba Fitzl (@theevilbit, Offensive Security)
Kohta päivitetty 5.9.2023
Calendar
Saatavuus: macOS Ventura
Vaikutus: Haitallisen kalenterikutsun tuominen saattoi aiheuttaa käyttäjätietovuodon.
Kuvaus: Useita varmistusongelmia ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Kohta päivitetty 5.9.2023
Camera
Saatavuus: macOS Ventura
Vaikutus: Eristetty appi pystyi mahdollisesti päättelemään, mikä appi käyttää kameraa.
Kuvaus: Ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
Carbon Core
Saatavuus: macOS Ventura
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27955: JeongOhKyea
CommCenter
Saatavuus: macOS Ventura
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-27936: Tingting Yin (Tsinghua University)
CoreServices
Saatavuus: macOS Ventura
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-40398: Mickey Jin (@patch1t)
Kohta lisätty 16.7.2024
CoreCapture
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-28181: Tingting Yin (Tsinghua University)
Crash Reporter
Saatavuus: macOS Ventura
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-32426: Junoh Lee (Theori)
Kohta lisätty 5.9.2023
curl
Saatavuus: macOS Ventura
Vaikutus: curlissa oli useita ongelmia.
Kuvaus: useita ongelmia ratkaistiin päivittämällä curl.
CVE-2022-43551
CVE-2022-43552
dcerpc
Saatavuus: macOS Ventura
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: muistin alustusongelma on korjattu.
CVE-2023-27934: Aleksandar Nikolic (Cisco Talos)
Kohta päivitetty 8.6.2023
dcerpc
Saatavuus: macOS Ventura
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä aiheuttamaan palvelunestohyökkäyksen.
Kuvaus: Palvelunestohyökkäysongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-28180: Aleksandar Nikolic (Cisco Talos)
dcerpc
Saatavuus: macOS Ventura
Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)
dcerpc
Saatavuus: macOS Ventura
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)
CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)
DesktopServices
Saatavuus: macOS Ventura
Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-40433: Mikko Kenttälä (@Turmio_, SensorFu)
Kohta lisätty 21.12.2023
FaceTime
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tietosuojaongelma on ratkaistu siirtämällä arkaluontoiset tiedot entistä turvallisempaan sijaintiin.
CVE-2023-28190: Joshua Jones
Find My
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-23537: Adam M.
CVE-2023-28195: Adam M.
Kohta lisätty 5.9.2023 ja päivitetty 21.12.2023
FontParser
Saatavuus: macOS Ventura
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-27956: Ye Zhang (@VAR10CK, Baidu Security)
Kohta päivitetty 31.10.2023
FontParser
Saatavuus: macOS Ventura
Vaikutus: Fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-32366: Ye Zhang (@VAR10CK, Baidu Security)
Kohta lisätty 31.10.2023
Foundation
Saatavuus: macOS Ventura
Vaikutus: Haitallisen plist-tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2023-27937: nimetön tutkija
iCloud
Saatavuus: macOS Ventura
Vaikutus: Tiedosto iCloudin ”Jakaja: minä” -kansiosta saattoi pystyä ohittamaan Gatekeeperin.
Kuvaus: Ongelma on ratkaistu lisäämällä Gatekeeperiin tarkastuksia tiedostoille, jotka on ladattu iCloudin ”Jakaja: minä” -kansiosta.
CVE-2023-23526: Jubaer Alnazi (TRS Group of Companies)
Identity Services
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-27928: Csaba Fitzl (@theevilbit, Offensive Security)
ImageIO
Saatavuus: macOS Ventura
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-27939: Trend Micron Zero Day Initiative ‑ohjelmassa työskentelevä jzhu
CVE-2023-27947: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab)
CVE-2023-27948: Meysam Firouzi (@R00tkitSMM), Mbition mercedes-benz innovation lab
CVE-2023-42862: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab)
CVE-2023-42865: jzhu yhteistyössä Trend Micro Zero Day Initiativen ja Meysam Firouzin (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) kanssa
Kohta lisätty 1.8.2023 ja päivitetty 21.12.2023
ImageIO
Saatavuus: macOS Ventura
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23535: ryuzaki
ImageIO
Saatavuus: macOS Ventura
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) ja jzhu yhteistyössä Trend Micro Zero Day Initiativen kanssa
ImageIO
Saatavuus: macOS Ventura
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Saatavuus: macOS Ventura
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-27957: Yiğit Can YILMAZ (@yilmazcanyigit)
IOAcceleratorFamily
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32378: Murray Mike
Kohta lisätty 31.10.2023
Kernel
Saatavuus: macOS Ventura
Vaikutus: käyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-28187: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Kohta lisätty 5.9.2023
Kernel
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Kohta lisätty 1.8.2023 ja päivitetty 31.10.2023
Kernel
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-23536: Félix Poulin-Bélanger ja David Pan Ogea
Kohta lisätty 1.5.2023 ja päivitetty 31.10.2023
Kernel
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-23514: Xinru Chi (Pangu Lab) ja Ned Williamson (Google Project Zero)
CVE-2023-27969: Adam Doupé (ASU SEFCOM)
Kernel
Saatavuus: macOS Ventura
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-27933: sqrtpwn
Kernel
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
LaunchServices
Saatavuus: macOS Ventura
Vaikutus: Internetistä ladattuihin tiedostoihin ei välttämättä lisätty karanteeni-lippua.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-27943: nimetön tutkija, Brandon Dalton (@partyD0lphin, Red Canary), Milan Tenk ja Arthur Valiev (F-Secure Corporation)
Kohta päivitetty 31.10.2023
LaunchServices
Saatavuus: macOS Ventura
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-23525: Mickey Jin (@patch1t)
libc
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2023-40383: Mickey Jin (@patch1t)
Kohta lisätty 31.10.2023
libpthread
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-41075: Zweig (Kunlun Lab)
Kohta lisätty 21.12.2023
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä tarkastelemaan luottamuksellisia tietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-28189: Mickey Jin (@patch1t)
Kohta lisätty 1.5.2023
Messages
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2023-28197: Joshua Jones
Kohta lisätty 31.10.2023
Model I/O
Saatavuus: macOS Ventura
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-27950: Mickey Jin (@patch1t)
Kohta lisätty 5.9.2023
Model I/O
Saatavuus: macOS Ventura
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
Saatavuus: macOS Ventura
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä huijaamaan VPN-palvelinta, joka oli määritetty vain EAP-todennuksella laitteessa.
Kuvaus: ongelma on ratkaistu parantamalla todennusta.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-23538: Mickey Jin (@patch1t)
CVE-2023-27962: Mickey Jin (@patch1t)
Photos
Saatavuus: macOS Ventura
Vaikutus: Kätketyt-albumissa olevia kuvia pystyi katselemaan ilman todennusta käyttämällä visuaalista hakua.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2023-23523: developStorm
Podcastit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27942: Mickey Jin (@patch1t)
Quick Look
Saatavuus: macOS Ventura
Vaikutus: Verkkosivusto saattoi pystyä seuraamaan arkaluontoisia käyttäjätietoja.
Kuvaus: virheenkäsittelyä muutettiin siten, etteivät arkaluontoiset tiedot paljastu.
CVE-2023-32362: Khiem Tran
Kohta lisätty 5.9.2023
Safari
Saatavuus: macOS Ventura
Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.
Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2023-27952: Csaba Fitzl (@theevilbit, Offensive Security)
Sandbox
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa (FFRI Security, Inc.) ja Csaba Fitzl (@theevilbit, Offensive Security)
Sandbox
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
SharedFileList
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27966: Masahiro Kawada (@kawakatz), GMO Cybersecurity by Ierae
Kohta lisätty 1.5.2023, päivitetty 1.8.2023
Shortcuts
Saatavuus: macOS Ventura
Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies) sekä Wenchao Li ja Xiaolong Bai (Alibaba Group)
System Settings
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-23542: Adam M.
Kohta päivitetty 5.9.2023
System Settings
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu parantamalla validointia.
CVE-2023-28192: Guilherme Rambo (Best Buddy Apps, rambo.codes)
TCC
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-27931: Mickey Jin (@patch1t)
TextKit
Saatavuus: macOS Ventura
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2023-28188: Xin Huang (@11iaxH)
Kohta lisätty 5.9.2023
Vim
Saatavuus: macOS Ventura
Vaikutus: Vimissä esiintyi useita ongelmia.
Kuvaus: Useita ongelmia ratkaistiin päivittämällä Vim versioon 9.0.1191.
CVE-2023-0049
CVE-2023-0051
CVE-2023-0054
CVE-2023-0288
CVE-2023-0433
CVE-2023-0512
WebKit
Saatavuus: macOS Ventura
Vaikutus: yleismerkkejä sisältävien domainien estämiseen tarkoitettu sisältöturvallisuuskäytäntö saattoi epäonnistua.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken (imec-DistriNet, KU Leuven)
Kohta lisätty 5.9.2023
WebKit
Saatavuus: macOS Ventura
Vaikutus: verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel yhteistyössä Trend Micro Zero Day Initiativen kanssa
Kohta lisätty 1.8.2023
WebKit
Saatavuus: macOS Ventura
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 15.7:ää julkaistuja iOS-versioita vastaan.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) ja Valentin Pashkov, Kaspersky
Kohta lisätty 21.6.2023, päivitetty 1.8.2023
WebKit
Saatavuus: macOS Ventura
Vaikutus: haitallisen verkkosisällön käsittely saattoi pystyä ohittamaan saman alkuperän käytännön
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-27932: nimetön tutkija
WebKit
Saatavuus: macOS Ventura
Vaikutus: Verkkosivusto saattoi pystyä seuraamaan arkaluontoisia käyttäjätietoja.
Kuvaus: Ongelma on ratkaistu poistamalla lähdetiedot.
CVE-2023-27954: nimetön tutkija
WebKit
Saatavuus: macOS Ventura
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 249434
CVE-2014-1745: nimetön tutkija
Kohta lisätty 21.12.2023
WebKit PDF
Saatavuus: macOS Ventura
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 249169
CVE-2023-32358: Trend Micron Zero Day Initiative ‑ohjelmassa työskentelevä nimetön henkilö
Kohta lisätty 1.8.2023
WebKit Web Inspector
Saatavuus: macOS Ventura
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-28201: Dohyun Lee (@l33d0hyun) ja crixer (@pwning_me), SSD Labs
Kohta lisätty 1.5.2023
XPC
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Ongelma on ratkaistu uudella valtuutuksella.
CVE-2023-27944: Mickey Jin (@patch1t)
Kiitokset
Activation Lock
Haluamme kiittää Christian Minaa hänen avustaan.
AppleMobileFileIntegrity
Haluamme kiittää Wojciech Regułaa (@_r3ggi, SecuRing) hänen avustaan.
Kohta lisätty 21.12.2023
AppleScript
Haluamme kiittää avusta Mickey Jiniä (@patch1t).
Calendar UI
Haluaisimme kiittää Rafi Andhika Galuhia (@rafipiun) hänen avustaan.
Kohta lisätty 1.8.2023
CFNetwork
Haluamme kiittää avusta nimetöntä tutkijaa.
Control Center
Kiitämme Adam M:ää hänen antamastaan avusta.
Kohta päivitetty 21.12.2023
CoreServices
Haluamme kiittää avusta Mickey Jiniä (@patch1t).
dcerpc
Haluamme kiittää Aleksandar Nikolicia (Cisco Talos) hänen avustaan.
FaceTime
Haluamme kiittää Sajan Karkia hänen avustaan.
file_cmds
Haluamme kiittää Lukas Zronekia hänen avustaan.
File Quarantine
Haluamme kiittää avusta Koh M. Nakagawaa (FFRI Security, Inc.).
Kohta lisätty 1.5.2023
Git
Haluamme kiittää hänen avustaan.
Heimdal
Haluamme kiittää Evgeny Legerovia (Intevydis) hänen avustaan.
ImageIO
Haluamme kiittää Meysam Firouzia (@R00tkitSMM) hänen avustaan.
Kernel
Haluamme kiittää Tim Michaudia (@TimGMichaud, Moveworks.ai) hänen avustaan.
Kohta lisätty 16.7.2024
Haluamme kiittää Chen Zhangia, Fabian Isingia (FH Münster University of Applied Sciences), Damian Poddebniakia (FH Münster University of Applied Sciences), Tobias Kappertia (Münster University of Applied Sciences), Christoph Saatjohannia (Münster University of Applied Sciences, Sebast) ja Merlin Chlostaa (CISPA Helmholtz Center for Information Security) heidän avustaan.
NSOpenPanel
Haluamme kiittää Alexandre Coluccia (@timacfr) hänen avustaan.
Password Manager
Haluamme kiittää OCA Creations LLC:tä ja Sebastian S. Andersenia heidän antamastaan avusta.
Kohta lisätty 1.5.2023
quarantine
Haluamme kiittää avusta Koh M. Nakagawaa (FFRI Security, Inc.).
Safari Downloads
Haluamme kiittää Andrew Gonzalezia hänen avustaan.
WebKit
Haluamme kiittää avusta nimetöntä tutkijaa.
WebKit Web Inspector
Haluamme kiittää Dohyun Leetä (@l33d0hyun, SSD Labs) ja crixeriä (@pwning_me, SSD Labs) heidän avustaan.
Wi-Fi
Haluamme kiittää avusta nimetöntä tutkijaa.