Tietoja macOS Ventura 13.3:n turvallisuussisällöstä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

Julkaistu 27.3.2023

AMD

Saatavuus: macOS Ventura

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2023-32436: ABC Research s.r.o.

Kohta lisätty 31.10.2023

AMD

Saatavuus: macOS Ventura

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-27968: ABC Research s.r.o.

CVE-2023-28209: ABC Research s.r.o.

CVE-2023-28210: ABC Research s.r.o.

CVE-2023-28211: ABC Research s.r.o.

CVE-2023-28212: ABC Research s.r.o.

CVE-2023-28213: ABC Research s.r.o.

CVE-2023-28214: ABC Research s.r.o.

CVE-2023-28215: ABC Research s.r.o.

CVE-2023-32356: ABC Research s.r.o.

Kohta lisätty 5.9.2023

Apple Neural Engine

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2023-23532: Mohamed Ghannam (@_simo36)

AppleMobileFileIntegrity

Saatavuus: macOS Ventura

Vaikutus: Käyttäjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-23527: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2023-27931: Mickey Jin (@patch1t)

AppleScript

Saatavuus: macOS Ventura

Vaikutus: haitallisen AppleScript-binaarin käsittely saattoi aiheuttaa apin odottamattoman lopetuksen tai prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-28179: Mickey Jin (@patch1t)

Kohta lisätty 1.8.2023

App Store

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-42830: nimetön tutkija

Kohta lisätty 21.12.2023

Archive Utility

Saatavuus: macOS Ventura

Vaikutus: arkisto saattoi pystyä ohittamaan Gatekeeperin.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-27951: Brandon Dalton (@partyD0lphin, Red Canary), Chan Shue Long ja Csaba Fitzl (@theevilbit, Offensive Security)

Kohta päivitetty 5.9.2023

Calendar

Saatavuus: macOS Ventura

Vaikutus: Haitallisen kalenterikutsun tuominen saattoi aiheuttaa käyttäjätietovuodon.

Kuvaus: Useita varmistusongelmia ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Kohta päivitetty 5.9.2023

Camera

Saatavuus: macOS Ventura

Vaikutus: Eristetty appi pystyi mahdollisesti päättelemään, mikä appi käyttää kameraa.

Kuvaus: Ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.

CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)

Carbon Core

Saatavuus: macOS Ventura

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-23534: Mickey Jin (@patch1t)

ColorSync

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-27955: JeongOhKyea

CommCenter

Saatavuus: macOS Ventura

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-27936: Tingting Yin (Tsinghua University)

CoreCapture

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-28181: Tingting Yin (Tsinghua University)

Crash Reporter

Saatavuus: macOS Ventura

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-32426: Junoh Lee (Theori)

Kohta lisätty 5.9.2023

curl

Saatavuus: macOS Ventura

Vaikutus: curlissa oli useita ongelmia.

Kuvaus: useita ongelmia ratkaistiin päivittämällä curl.

CVE-2022-43551

CVE-2022-43552

dcerpc

Saatavuus: macOS Ventura

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: muistin alustusongelma on korjattu.

CVE-2023-27934: Aleksandar Nikolic (Cisco Talos)

Kohta päivitetty 8.6.2023

dcerpc

Saatavuus: macOS Ventura

Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä aiheuttamaan palvelunestohyökkäyksen.

Kuvaus: Palvelunestohyökkäysongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-28180: Aleksandar Nikolic (Cisco Talos)

dcerpc

Saatavuus: macOS Ventura

Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)

dcerpc

Saatavuus: macOS Ventura

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)

CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)

DesktopServices

Saatavuus: macOS Ventura

Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-40433: Mikko Kenttälä (@Turmio_, SensorFu)

Kohta lisätty 21.12.2023

FaceTime

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Tietosuojaongelma on ratkaistu siirtämällä arkaluonteiset tiedot turvallisempaan sijaintiin.

CVE-2023-28190: Joshua Jones

Find My

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-23537: Adam M.

CVE-2023-28195: Adam M.

Kohta lisätty 5.9.2023 ja päivitetty 21.12.2023

FontParser

Saatavuus: macOS Ventura

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-27956: Ye Zhang (@VAR10CK, Baidu Security)

Kohta päivitetty 31.10.2023

FontParser

Saatavuus: macOS Ventura

Vaikutus: Fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-32366: Ye Zhang (@VAR10CK, Baidu Security)

Kohta lisätty 31.10.2023

Foundation

Saatavuus: macOS Ventura

Vaikutus: Haitallisen plist-tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2023-27937: nimetön tutkija

iCloud

Saatavuus: macOS Ventura

Vaikutus: Tiedosto iCloudin ”Jakaja: minä” -kansiosta saattoi pystyä ohittamaan Gatekeeperin.

Kuvaus: Ongelma on ratkaistu lisäämällä Gatekeeperiin tarkastuksia tiedostoille, jotka on ladattu iCloudin ”Jakaja: minä” -kansiosta.

CVE-2023-23526: Jubaer Alnazi (TRS Group of Companies)

Identity Services

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-27928: Csaba Fitzl (@theevilbit, Offensive Security)

ImageIO

Saatavuus: macOS Ventura

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-27939: Trend Micron Zero Day Initiative ‑ohjelmassa työskentelevä jzhu

CVE-2023-27947: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab)

CVE-2023-27948: Meysam Firouzi (@R00tkitSMM), Mbition mercedes-benz innovation lab

CVE-2023-42862: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab)

CVE-2023-42865: jzhu yhteistyössä Trend Micro Zero Day Initiativen ja Meysam Firouzin (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) kanssa

Kohta lisätty 1.8.2023 ja päivitetty 21.12.2023

ImageIO

Saatavuus: macOS Ventura

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-23535: ryuzaki

ImageIO

Saatavuus: macOS Ventura

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) ja jzhu yhteistyössä Trend Micro Zero Day Initiativen kanssa

ImageIO

Saatavuus: macOS Ventura

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2023-27946: Mickey Jin (@patch1t)

ImageIO

Saatavuus: macOS Ventura

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-27957: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-32378: Murray Mike

Kohta lisätty 31.10.2023

Kernel

Saatavuus: macOS Ventura

Vaikutus: käyttäjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2023-28187: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

Kohta lisätty 5.9.2023

Kernel

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä

Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2023-27941: Arsenii Kostromin (0x3c3e)

CVE-2023-28199: Arsenii Kostromin (0x3c3e)

Kohta lisätty 1.8.2023 ja päivitetty 31.10.2023

Kernel

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2023-23536: Félix Poulin-Bélanger ja David Pan Ogea

Kohta lisätty 1.5.2023 ja päivitetty 31.10.2023

Kernel

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-23514: Xinru Chi (Pangu Lab) ja Ned Williamson (Google Project Zero)

CVE-2023-27969: Adam Doupé (ASU SEFCOM)

Kernel

Saatavuus: macOS Ventura

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-27933: sqrtpwn

Kernel

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2023-28200: Arsenii Kostromin (0x3c3e)

LaunchServices

Saatavuus: macOS Ventura

Vaikutus: Internetistä ladattuihin tiedostoihin ei välttämättä lisätty karanteeni-lippua.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2023-27943: nimetön tutkija, Brandon Dalton (@partyD0lphin, Red Canary), Milan Tenk ja Arthur Valiev (F-Secure Corporation)

Kohta päivitetty 31.10.2023

LaunchServices

Saatavuus: macOS Ventura

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2023-23525: Mickey Jin (@patch1t)

libc

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2023-40383: Mickey Jin (@patch1t)

Kohta lisätty 31.10.2023

libpthread

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-41075: Zweig (Kunlun Lab)

Kohta lisätty 21.12.2023

Mail

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä tarkastelemaan luottamuksellisia tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-28189: Mickey Jin (@patch1t)

Kohta lisätty 1.5.2023

Messages

Saatavuus: macOS Ventura

Vaikutus: Appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2023-28197: Joshua Jones

Kohta lisätty 31.10.2023

Model I/O

Saatavuus: macOS Ventura

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-27950: Mickey Jin (@patch1t)

Kohta lisätty 5.9.2023

Model I/O

Saatavuus: macOS Ventura

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-27949: Mickey Jin (@patch1t)

NetworkExtension

Saatavuus: macOS Ventura

Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä huijaamaan VPN-palvelinta, joka oli määritetty vain EAP-todennuksella laitteessa.

Kuvaus: Ongelma on ratkaistu parantamalla tunnistautumista.

CVE-2023-28182: Zhuowei Zhang

PackageKit

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-23538: Mickey Jin (@patch1t)

CVE-2023-27962: Mickey Jin (@patch1t)

Photos

Saatavuus: macOS Ventura

Vaikutus: Kätketyt-albumissa olevia kuvia pystyi katselemaan ilman todennusta käyttämällä visuaalista hakua.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2023-23523: developStorm

Podcastit

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-27942: Mickey Jin (@patch1t)

Quick Look

Saatavuus: macOS Ventura

Vaikutus: Verkkosivusto saattoi pystyä seuraamaan arkaluontoisia käyttäjätietoja.

Kuvaus: virheenkäsittelyä muutettiin siten, etteivät arkaluontoiset tiedot paljastu.

CVE-2023-32362: Khiem Tran

Kohta lisätty 5.9.2023

Safari

Saatavuus: macOS Ventura

Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2023-27952: Csaba Fitzl (@theevilbit, Offensive Security)

Sandbox

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa (FFRI Security, Inc.) ja Csaba Fitzl (@theevilbit, Offensive Security)

Sandbox

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

SharedFileList

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä poistumaan eristyksestään

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-27966: Masahiro Kawada (@kawakatz), GMO Cybersecurity by Ierae

Kohta lisätty 1.5.2023, päivitetty 1.8.2023

Shortcuts

Saatavuus: macOS Ventura

Vaikutus: Pikakuvake saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.

Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies) sekä Wenchao Li ja Xiaolong Bai (Alibaba Group)

System Settings

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-23542: Adam M.

Kohta päivitetty 5.9.2023

System Settings

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja

Kuvaus: Käyttöoikeusongelma on ratkaistu parantamalla validointia.

CVE-2023-28192: Guilherme Rambo (Best Buddy Apps, rambo.codes)

TCC

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2023-27931: Mickey Jin (@patch1t)

TextKit

Saatavuus: macOS Ventura

Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2023-28188: Xin Huang (@11iaxH)

Kohta lisätty 5.9.2023

Vim

Saatavuus: macOS Ventura

Vaikutus: Vimissä esiintyi useita ongelmia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä Vim versioon 9.0.1191.

CVE-2023-0049

CVE-2023-0051

CVE-2023-0054

CVE-2023-0288

CVE-2023-0433

CVE-2023-0512

WebKit

Saatavuus: macOS Ventura

Vaikutus: yleismerkkejä sisältävien domainien estämiseen tarkoitettu sisältöturvallisuuskäytäntö saattoi epäonnistua.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken (imec-DistriNet, KU Leuven)

Kohta lisätty 5.9.2023

WebKit

Saatavuus: macOS Ventura

Vaikutus: Verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel yhteistyössä Trend Micro Zero Day Initiativen kanssa

Kohta lisätty 1.8.2023

WebKit

Saatavuus: macOS Ventura

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää ennen iOS 15.7:ää julkaistuja iOS-versioita vastaan.

Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) ja Valentin Pashkov, Kaspersky

Kohta lisätty 21.6.2023, päivitetty 1.8.2023

WebKit

Saatavuus: macOS Ventura

Vaikutus: haitallisen verkkosisällön käsittely saattoi pystyä ohittamaan saman alkuperän käytännön

Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2023-27932: nimetön tutkija

WebKit

Saatavuus: macOS Ventura

Vaikutus: Verkkosivusto saattoi pystyä seuraamaan arkaluontoisia käyttäjätietoja.

Kuvaus: Ongelma on ratkaistu poistamalla lähdetiedot.

CVE-2023-27954: nimetön tutkija

WebKit

Saatavuus: macOS Ventura

Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 249434
CVE-2014-1745: nimetön tutkija

Kohta lisätty 21.12.2023

WebKit PDF

Saatavuus: macOS Ventura

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 249169
CVE-2023-32358: Trend Micron Zero Day Initiative ‑ohjelmassa työskentelevä nimetön henkilö

Kohta lisätty 1.8.2023

WebKit Web Inspector

Saatavuus: macOS Ventura

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2023-28201: Dohyun Lee (@l33d0hyun) ja crixer (@pwning_me), SSD Labs

Kohta lisätty 1.5.2023

XPC

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä poistumaan eristyksestään

Kuvaus: Ongelma on ratkaistu uudella valtuutuksella.

CVE-2023-27944: Mickey Jin (@patch1t)

Activation Lock

Haluamme kiittää Christian Minaa hänen avustaan.

AppleMobileFileIntegrity

Haluamme kiittää Wojciech Regułaa (@_r3ggi, SecuRing) hänen avustaan.

Kohta lisätty 21.12.2023

AppleScript

Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.

Calendar UI

Haluaisimme kiittää Rafi Andhika Galuhia (@rafipiun) hänen avustaan.

Kohta lisätty 1.8.2023

CFNetwork

Haluamme kiittää avusta nimetöntä tutkijaa.

Control Center

Kiitämme Adam M:ää hänen antamastaan avusta.

Kohta päivitetty 21.12.2023

CoreServices

Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.

dcerpc

Haluamme kiittää Aleksandar Nikolicia (Cisco Talos) hänen avustaan.

FaceTime

Haluamme kiittää Sajan Karkia hänen avustaan.

file_cmds

Haluamme kiittää Lukas Zronekia hänen avustaan.

File Quarantine

Haluamme kiittää avusta Koh M. Nakagawaa (FFRI Security, Inc.).

Kohta lisätty 1.5.2023

Git

Haluamme kiittää hänen avustaan.

Heimdal

Haluamme kiittää Evgeny Legerovia (Intevydis) hänen avustaan.

ImageIO

Haluamme kiittää Meysam Firouzia (@R00tkitSMM) hänen avustaan.

Mail

Haluamme kiittää Chen Zhangia, Fabian Isingia (FH Münster University of Applied Sciences), Damian Poddebniakia (FH Münster University of Applied Sciences), Tobias Kappertia (Münster University of Applied Sciences), Christoph Saatjohannia (Münster University of Applied Sciences, Sebast) ja Merlin Chlostaa (CISPA Helmholtz Center for Information Security) heidän avustaan.

NSOpenPanel

Haluamme kiittää Alexandre Coluccia (@timacfr) hänen avustaan.

Password Manager

Haluamme kiittää OCA Creations LLC:tä ja Sebastian S. Andersenia heidän antamastaan avusta.

Kohta lisätty 1.5.2023

quarantine

Haluamme kiittää avusta Koh M. Nakagawaa (FFRI Security, Inc.).

Safari Downloads

Haluamme kiittää Andrew Gonzalezia hänen avustaan.

WebKit

Haluamme kiittää avusta nimetöntä tutkijaa.

WebKit Web Inspector

Haluamme kiittää Dohyun Leetä (@l33d0hyun, SSD Labs) ja crixeriä (@pwning_me, SSD Labs) heidän avustaan.

Wi-Fi

Haluamme kiittää avusta nimetöntä tutkijaa.