Tietoja macOS Sonoma 14:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Sonoma 14:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Sonoma 14
Julkaistu 26.9.2023
AirPort
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: lupaongelma on ratkaistu parantamalla arkaluonteisten tietojen sensurointia.
CVE-2023-40384: Adam M.
AMD
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-32377: ABC Research s.r.o.
AMD
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-38615: ABC Research s.r.o.
App Store
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: etähyökkääjä saattoi pystyä poistumaan verkkosisällön eristyksestä.
Kuvaus: ongelma on ratkaistu parantamalla protokollien käsittelyä.
CVE-2023-40448: w0wbox
Apple Neural Engine
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-42871: Mohamed GHANNAM (@_simo36)
Kohta päivitetty 22.12.2023
Apple Neural Engine
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-40410: Tim Michaud (@TimGMichaud, Moveworks.ai)
AppleMobileFileIntegrity
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
CVE-2023-42872: Mickey Jin (@patch1t)
Kohta lisätty 22.12.2023
AppSandbox
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42929: Mickey Jin (@patch1t)
Kohta lisätty 22.12.2023
AppSandbox
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: Appi saattoi pystyä käyttämään Muistiinpanojen liitteitä.
Kuvaus: ongelma on ratkaistu parantamalla datasäilön käyttöoikeusrajoitusta.
CVE-2023-42925: Wojciech Reguła (@_r3ggi) ja Kirin (@Pwnrin)
Kohta lisätty 16.7.2024
Ask to Buy
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-38612: Chris Ross (Zoom)
Kohta lisätty 22.12.2023
AuthKit
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-32361: Csaba Fitzl (@theevilbit, Offensive Security)
Bluetooth
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: hyökkääjä, joka on fyysisesti laitteen lähellä, voi aiheuttaa rajoitettua rajojen ulkopuolista kirjoittamista.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-35984: zer0k
Bluetooth
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)
Bluetooth
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä ohittamaan tietyt yksityisyysasetukset.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)
BOM
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)
Kohta lisätty 22.12.2023
bootp
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-41065: Adam M., Noah Roskin-Frazee ja professori Jason Lau (ZeroClicks.ai Lab)
Calendar
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: Appi saattoi käyttää väliaikaiseen hakemistoon tallennettua kalenteridataa.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-29497: Kirin (@Pwnrin) ja Yishu Wang
CFNetwork
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi ei välttämättä onnistunut vahvistamaan App Transport Security -vaatimuksia.
Kuvaus: ongelma on ratkaistu parantamalla protokollien käsittelyä.
CVE-2023-38596: Will Brattain (Trail of Bits)
Kello
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-42943: Cristian Dinca (Tudor Vianu National High School of Computer Science, Romania)
Kohta lisätty 16.7.2024
ColorSync
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-40406: JeongOhKyea (Theori)
CoreAnimation
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40420: 이준성 (Junsung Lee, Cross Republic)
Core Data
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-40528: Kirin (@Pwnrin, NorthSea)
Kohta lisätty 22.1.2024
Core Image
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään väliaikaiseen hakemistoon tallennettuja muokattuja kuvia.
Kuvaus: ongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-40438: Wojciech Regula (SecuRing, wojciechregula.blog)
Kohta lisätty 22.12.2023
CoreMedia
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: kameralaajennus saattoi pystyä käyttämään kameranäkymää muista apeista kuin apista, jolle pääsy myönnettiin.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia
CVE-2023-41994: Halle Winkler (Politepix, @hallewinkler)
Kohta lisätty 22.12.2023
CUPS
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-40407: Sei K.
Dev Tools
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-32396: Mickey Jin (@patch1t)
CVE-2023-42933: Mickey Jin (@patch1t)
Kohta lisätty 22.12.2023
FileProvider
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-41980: Noah Roskin-Frazee, Professor Jason Lau (ZeroClicks.ai Lab)
FileProvider
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2023-40411: Noah Roskin-Frazee, Prof. J. (ZeroClicks.ai Lab) ja Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 22.12.2023
Game Center
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään yhteystietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-40395: Csaba Fitzl (@theevilbit, Offensive Security)
GPU Drivers
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40391: Antonio Zekic (@antoniozekic, Dataflow Security)
GPU Drivers
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.
Kuvaus: resurssien loppumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-40441: Ron Masas, Imperva
Graphics Drivers
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2023-42959: Murray Mike
Kohta lisätty 16.7.2024
iCloud
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: lupaongelma on ratkaistu parantamalla arkaluonteisten tietojen sensurointia.
CVE-2023-23495: Csaba Fitzl (@theevilbit, Offensive Security)
iCloud Photo Library
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä tarkastelemaan käyttäjän Kuvat-kirjastoa.
Kuvaus: Määritysongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-40434: Mikko Kenttälä (@Turmio_, SensorFu)
Image Capture
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)
IOAcceleratorFamily
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: Appi saattoi saada järjestelmän sulkeutumaan odottamatta tai lukea kernel-muistia.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-40436: Murray Mike
IOUserEthernet
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40396: Certik Skyfall Team
Kohta lisätty 16.7.2024
Kernel
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-41995: Certik Skyfall Team ja pattern-f (@pattern_F_), Ant Security Light-Year Lab
CVE-2023-42870: Zweig (Kunlun Lab)
Kohta lisätty 22.12.2023
Kernel
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-41981: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Kernel
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu parantamalla validointia.
CVE-2023-40429: Michael (Biscuit) Thomas ja 张师傅(@京东蓝军)
Kernel
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-41060: Joseph Ravichandran (@0xjprx, MIT CSAIL)
Kohta lisätty 22.12.2023
LaunchServices
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-41067: Ferdous Saljooki (@malwarezoo), Jamf Software ja nimetön tutkija
libpcap
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-40400: Sei K.
libxpc
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-40454: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
libxpc
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-41073: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
libxslt
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40403: Dohyun Lee (@l33d0hyun, PK Security)
Maps
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-40427: Adam M. ja Wojciech Regula (SecuRing, wojciechregula.blog)
Maps
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-42957: Adam M. ja Ron Masas (BreakPoint Security Research)
Kohta lisätty 16.7.2024
Viestit
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä tarkastelemaan suojaamattomia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-32421: Meng Zhang (鲸落) (NorthSea), Ron Masas (BreakPoint Security Research), Brian McNulty ja Kishan Bagaria (Texts.com)
Model I/O
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: Tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42826: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
Kohta lisätty 19.10.2023
Model I/O
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-42918: Mickey Jin (@patch1t)
Kohta lisätty 16.7.2024
Music
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-41986: Gergely Kalman (@gergely_kalman)
NetFSFramework
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-40455: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
Notes
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: Appi saattoi pystyä käyttämään Muistiinpanojen liitteitä.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-40386: Kirin (@Pwnrin)
OpenSSH
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: OpenSSHs-etävälityksessä havaittiin haavoittuvuus.
Kuvaus: ongelma on ratkaistu päivittämällä OpenSSH 9.3p2:ksi.
CVE-2023-38408: baba yaga, nimetön tutkija
Kohta lisätty 22.12.2023
Passkeys
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: hyökkääjä saattoi pystyä käyttämään pääsyavaimia ilman todentautumista.
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
CVE-2023-40401: weize she ja nimetön tutkija
Kohta lisätty 22.12.2023
Photos
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: Kätketyt-albumin kuvia saattoi katsoa ilman todentautumista.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-40393: nimetön tutkija, Berke Kırbaş ja Harsh Jaiswal
Kohta lisätty 22.12.2023
Photos
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään väliaikaiseen hakemistoon tallennettuja muokattuja kuvia.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2023-42949: Kirin (@Pwnrin)
Kohta lisätty 16.7.2024
Photos Storage
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-42934: Wojciech Regula (SecuRing, wojciechregula.blog)
Kohta lisätty 22.12.2023
Power Management
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: käyttäjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.
Kuvaus: Lukitun näytön ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi (George Mason University) ja Billy Tabrizi
Kohta lisätty 22.12.2023
Printing
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä muokkaamaan tulostinasetuksia.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)
Kohta lisätty 22.12.2023
Printing
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-41987: Kirin (@Pwnrin) ja Wojciech Regula (SecuRing, wojciechregula.blog)
Kohta lisätty 22.12.2023
Pro Res
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-41063: Certik Skyfall Team
QuartzCore
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40422: Tomi Tokics (@tomitokics), iTomsn0w
Safari
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-39233: Luan Herrera (@lbherrera_)
Safari
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: Safari saattoi tallentaa valokuvat suojaamattomaan sijaintiin.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-40388: Kirin (@Pwnrin)
Safari
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: Appi saattoi kyetä tunnistamaan muita käyttäjän asentamia appeja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-35990: Adriatik Raci (Sentry Cybersecurity)
Safari
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen.
Kuvaus: Ikkunoiden hallintaongelma ratkaistiin parantamalla tilan hallintaa.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati, Suma Soft Pvt. Ltd, Pune, Intia)
Kohta lisätty 22.12.2023
Sandbox
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Sandbox
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään siirrettäviä taltioita ilman käyttäjän suostumusta.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)
Kohta lisätty 22.12.2023
Sandbox
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: Apit, jotka eivät läpäisseet vahvistustarkastusta, saattoivat silti käynnistyä.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-41996: Mickey Jin (@patch1t) ja Yiğit Can YILMAZ (@yilmazcanyigit)
Kohta lisätty 22.12.2023
Screen Sharing
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä ohittamaan tietyt yksityisyysasetukset.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-41078: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
Share Sheet
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia tietoja, jotka kirjataan, kun käyttäjä jakaa linkin.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-41070: Kirin (@Pwnrin)
Shortcuts
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: oikotie saattoi lähettää arkaluontoisia käyttäjätietoja ilman suostumusta.
Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.
CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) ja James Duffy (mangoSecure)
Shortcuts
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.
CVE-2023-41079: Ron Masas (BreakPoint.sh) ja nimetön tutkija
Spotlight
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-40443: Gergely Kalman (@gergely_kalman)
Kohta lisätty 22.12.2023
StorageKit
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2023-41968: Mickey Jin (@patch1t) ja James Hutchins
System Preferences
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-40450: Thijs Alkemade (@xnyhps, Computest Sector 7)
System Settings
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: Wi-Fi-salasanaa ei ehkä poistettu, kun Mac aktivoitiin macOS-palautuksen avulla.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-42948: Andrew Haggard
Kohta lisätty 16.7.2024
TCC
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) ja Csaba Fitzl (@theevilbit, Offensive Security)
WebKit
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) ja Dohyun Lee (@l33d0hyun, PK Security)
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Kohta lisätty 22.12.2023
WebKit
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee, Cross Republic) ja Jie Ding (@Lime, HKUS3 Lab)
Kohta lisätty 22.12.2023
WebKit
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) ja Jong Seong Kim(@nevul37)
Kohta lisätty 22.12.2023
WebKit
Saatavuus: Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 16.7 ‑versiota julkaistuissa iOS-versioissa.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak (The Citizen Lab, The University of Toronto's Munk School) ja Maddie Stone (Google's Threat Analysis Group)
WebKit
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: VoiceOver saattoi lukea käyttäjän salasanan ääneen
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
Kohta lisätty 22.12.2023
WebKit
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: etähyökkääjä saattoi pystyä katsomaan vuodettuja DNS-kyselyjä, kun Suojattu lähetys oli päällä.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
WebKit Bugzilla: 257303
CVE-2023-40385: nimetön
Kohta lisätty 22.12.2023
WebKit
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.
WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) ja Jong Seong Kim (@nevul37, AbyssLab)
Kohta lisätty 22.12.2023
Wi-Fi
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: muistin vioittumisongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-38610: Wang Yu (Cyberserval)
Kohta lisätty 22.12.2023
Windows Server
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä odottamatta vuotamaan käyttäjän käyttäjätunnukset suojatuista tekstikentistä.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-41066: nimetön tutkija, Jeremy Legendre (MacEnhance) ja Felix Kratz
Kohta lisätty 22.12.2023
XProtectFramework
Mac Studio (2022 ja uudemmat), iMac (2019 ja uudemmat), Mac Pro (2019 ja uudemmat), Mac mini (2018 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2018 ja uudemmat) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)
Kiitokset
Airport
Haluamme kiittää Adam M.:ää, Noah Roskin-Frazeeta ja professori Jason Lauta (ZeroClicks.ai Lab) heidän avustaan.
AppKit
Haluamme kiittää avusta nimetöntä tutkijaa.
Apple Neural Engine
Haluamme kiittää avusta käyttäjää pattern-f (@pattern_F_, Ant Security Light-Year Lab).
Kohta lisätty 22.12.2023
AppSandbox
Haluamme kiittää avusta Kiriniä (@Pwnrin).
Archive Utility
Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.
Audio
Haluamme kiittää avusta Mickey Jiniä (@patch1t).
Bluetooth
Haluamme kiittää avusta Jianjun Daita ja Guang Gongia (360 Vulnerability Research Institute).
Books
Haluamme kiittää avusta Aapo Oksmania (Nixu Cybersecurity).
Kohta lisätty 22.12.2023
Control Center
Haluamme kiittää Yiğit Can YILMAZia (@yilmazcanyigit) hänen avustaan.
Kohta lisätty 22.12.2023
Core Location
Haluamme kiittää Wouter Hennenia hänen avustaan.
CoreMedia Playback
Haluamme kiittää avusta Mickey Jiniä (@patch1t).
CoreServices
Haluamme kiittää avusta Thijs Alkemadea (Computest Sector 7), Wojciech Regułaa (@_r3ggi, SecuRing) ja nimetöntä tutkijaa.
Kohta lisätty 22.12.2023
Data Detectors UI
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal).
Find My
Haluamme kiittää avusta Cher Scarlettia.
Home
Haluamme kiittää avusta Jake Derouinia (jakederouin.com).
IOGraphics
Haluamme kiittää avusta nimetöntä tutkijaa.
IOUserEthernet
Haluamme kiittää avusta Certik Skyfall ‑tiimiä.
Kohta lisätty 22.12.2023
Kernel
Haluamme kiittää Bill Marczakia (The Citizen Lab, The University of Toronto's Munk School), Maddie Stonea (Google's Threat Analysis Group) ja Xinru Chia (Pangu Lab, 永超 王) heidän avustaan.
libxml2
Haluamme kiittää avusta OSS-Fuzzia ja Ned Williamsonia (Google Project Zero).
libxpc
Haluamme kiittää avusta nimetöntä tutkijaa.
libxslt
Haluamme kiittää Dohyun Leetä (@l33d0hyun, PK Security), OSS-Fuzzia ja Ned Williamsonia (Google Project Zero) heidän avustaan.
Haluamme kiittää avusta Taavi Eomäea (Zone Media OÜ).
Kohta lisätty 22.12.2023
Menus
Haluamme kiittää avusta Matthew Dentonia (Google Chrome Security).
Kohta lisätty 22.12.2023
NSURL
Haluamme kiittää Zhanpeng Zhaota (行之), 糖豆爸爸(@晴天组织) hänen avustaan.
PackageKit
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) ja nimetöntä tutkijaa heidän avustaan.
Photos
Haluamme kiittää avusta Anatolii Kozlovia, Dawid Pałuskaa, Lyndon Corneliusta ja Paul Lurinia.
Kohta päivitetty 16.7.2024
Power Services
Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.
Kohta lisätty 22.12.2023
Reminders
Haluamme kiittää Paweł Szafirowskia hänen avustaan.
Safari
Haluamme kiittää Kang Alia (Punggawa Cyber Security) hänen avustaan.
Sandbox
Haluamme kiittää Yiğit Can YILMAZia (@yilmazcanyigit) hänen avustaan.
SharedFileList
Haluamme kiittää avusta Christopher Lopezia (@L0Psec), Kandjia, Leo Pittiä (Zoom Video Communications), Masahiro Kawadaa (@kawakatz, GMO Cybersecurity by Ierae) ja Ross Binghamia (@PwnDexter).
Kohta lisätty 22.12.2023
Shortcuts
Haluamme kiittää avusta Alfie CG:tä, Christian Bastingia (Bundesamt für Sicherheit in der Informationstechnik), Cristian Dincaa (Tudor Vianu National High School of Computer Science, Romania), Giorgos Christodoulidisia, Jubaer Alnazia (TRS Group Of Companies), KRISHAN KANT DWIVEDIa (@xenonx7) ja Matthew Butleria.
Kohta päivitetty 24.4.2024
Software Update
Haluamme kiittää avusta Omar Simania.
Spotlight
Haluamme kiittää Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal) ja Dawid Pałuskaa heidän avustaan.
StorageKit
Haluamme kiittää avusta Mickey Jiniä (@patch1t).
Video Apps
Haluamme kiittää avusta James Duffya (mangoSecure).
WebKit
Haluamme kiittää avusta Khiem Trania, Narendra Bhatia (Suma Soft Pvt. Ltd. Pune, Intia) ja nimetöntä tutkijaa heidän avustaan.
WebRTC
Haluamme kiittää avusta nimetöntä tutkijaa.
Wi-Fi
Haluamme kiittää avusta Adam M.:ää ja Wang Yuta (Cyberserval).
Kohta lisätty 22.12.2023
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.