Tietoja macOS Sonoma 14.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sonoma 14.1:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

macOS Sonoma 14.1

Julkaistu 25.10.2023

App Support

Saatavuus: macOS Sonoma

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2023-30774

AppSandbox

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2023-40444: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)

Automation

Saatavuus: macOS Sonoma

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-42952: Zhipeng Huo (@R3dF09), Tencent Security Xuanwu Lab (xlab.tencent.com)

Kohta lisätty 16.2.2024

Bluetooth

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi saada Bluetoothin käyttöön luvattomasti.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2023-42945

Kohta lisätty 16.2.2024

Contacts

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-41072: Wojciech Regula (SecuRing, wojciechregula.blog) ja Csaba Fitzl (@theevilbit, Offensive Security)

CVE-2023-42857: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)

CoreAnimation

Saatavuus: macOS Sonoma

Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40449: Tomi Tokics (@tomitokics, iTomsn0w)

Core Recents

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen.

CVE-2023-42823

Kohta lisätty 16.2.2024

Emoji

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia root-käyttäjänä lukitusta näytöstä.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2023-41989: Jewel Lambert

FileProvider

Saatavuus: macOS Sonoma

Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2023-42854: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)

Find My

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2023-40413: Adam M.

Find My

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2023-42834: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 16.2.2024

Foundation

Saatavuus: macOS Sonoma

Vaikutus: verkkosivusto saattoi saada pääsyn arkaluontoisiin käyttäjätietoihin ratkaistessaan symbolisia linkkejä.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2023-42844: Ron Masas (BreakPoint.SH)

Game Center

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2023-42953: Michael (Biscuit) Thomas (@biscuit@social.lol)

Kohta lisätty 16.2.2024

ImageIO

Saatavuus: macOS Sonoma

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40416: JZ

ImageIO

Saatavuus: macOS Sonoma

Vaikutus: haitallisen kuvan käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2023-42848: JZ

Kohta lisätty 16.2.2024

IOTextEncryptionFamily

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40423: nimetön tutkija

iperf3

Saatavuus: macOS Sonoma

Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-38403

Kernel

Saatavuus: macOS Sonoma

Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-42849: Linus Henze (Pinauten GmbH, pinauten.de)

LaunchServices

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.

CVE-2023-42850: Thijs Alkemade (@xnyhps, Computest Sector 7), Brian McNulty, Zhongquan Li

libc

Saatavuus: macOS Sonoma

Vaikutus: haitallisten tietojen käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen käyttäjän asentamisessa apeissa.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40446: inooo

Kohta lisätty 3.11.2023

libxpc

Saatavuus: macOS Sonoma

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2023-42942: Mickey Jin (@patch1t)

Kohta lisätty 16.2.2024

Login Window

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä, joka tiesi tavallisen käyttäjän tunnukset, saattoi pystyä avaamaan toisen tavallisen käyttäjän lukitun näytön lukituksen samalla Macilla.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser & CPU IT, inc, Matthew McLean, Steven Maser ja Concentrixin IT-tiimi

Kohta päivitetty 27.10.2023

LoginWindow

Saatavuus: macOS Sonoma

Vaikutus: paikallinen hyökkääjä saattoi pystyä näkemään edellisen sisäänkirjautuneen käyttäjän työpöydän nopean käyttäjän vaihtuvalta näytöltä.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2023-42935: ASentientBot

Kohta lisätty 22.1.2024, päivitetty 24.4.2024

Mail Drafts

Saatavuus: macOS Sonoma

Vaikutus: Kätke osoitteeni ‑toiminto saatettiin poistaa käytöstä odottamattomasti.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2023-40408: Grzegorz Riegel

Maps

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-40405: Csaba Fitzl (@theevilbit, Offensive Security)

MediaRemote

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2023-28826: Meng Zhang (鲸落, NorthSea)

Kohta lisätty 7.3.2024

Model I/O

Saatavuus: macOS Sonoma

Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-42856: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Networking

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-40404: Certik Skyfall Team

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) ja Hevel Engineering

CVE-2023-42877: Arsenii Kostromin (0x3c3e)

Kohta lisätty 16.2.2024

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-42840: Mickey Jin (@patch1t) ja Csaba Fitzl (@theevilbit), Offensive Security

Kohta lisätty 16.2.2024

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-42853: Mickey Jin (@patch1t)

Kohta lisätty 16.2.2024

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2023-42860: Koh M. Nakagawa (@tsunek0h), FFRI Security, Inc.

Kohta lisätty 16.2.2024

PackageKit

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä ohittamaan tietyt yksityisyysasetukset.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-42889: Mickey Jin (@patch1t)

Kohta lisätty 16.2.2024

Passkeys

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä käyttämään pääsyavaimia ilman todentautumista

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-42847: nimetön tutkija

Photos

Saatavuus: macOS Sonoma

Vaikutus: Kätketyt-albumin kuvia saattoi katsoa ilman todentautumista

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2023-42845: Bistrit Dahal

Kohta päivitetty 16.2.2024

Pro Res

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu ja Guang Gong (360 Vulnerability Research Institute)

Pro Res

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2023-42873: Mingxuan Yang (@PPPF00L) sekä happybabywu ja Guang Gong (360 Vulnerability Research Institute)

Kohta lisätty 16.2.2024

quarantine

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.

Kuvaus: käyttöoikeusongelma ratkaistiin parantamalla eristystä.

CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 16.2.2024

RemoteViewServices

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä käyttämään käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-42835: Mickey Jin (@patch1t)

Kohta lisätty 16.2.2024

Safari

Saatavuus: macOS Sonoma

Vaikutus: haitallisella verkkosivustolla käynti saattoi paljastaa selaushistorian.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2023-41977: Alex Renda

Safari

Saatavuus: macOS Sonoma

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2023-42438: Rafay Baloch, Muhammad Samaak ja nimetön tutkija

Sandbox

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä saattoi pystyä käyttämään liitettyjä verkkotaltioita, jotka on liitetty kotihakemistoon.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

Kohta lisätty 16.2.2024

Sandbox

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Kohta lisätty 16.2.2024

Share Sheet

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula (SecuRing, wojciechregula.blog) ja Cristian Dinca (Tudor Vianu National High School of Computer Science, Romania)

Kohta lisätty 16.2.2024

Siri

Saatavuus: macOS Sonoma

Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: Bistrit Dahal

Kohta päivitetty 16.2.2024

Siri

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2023-42946

Kohta lisätty 16.2.2024

SQLite

Saatavuus: macOS Sonoma

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2023-36191

Kohta lisätty 16.2.2024

talagent

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2023-40421: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)

Terminal

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-42842: nimetön tutkija

Vim

Saatavuus: macOS Sonoma

Vaikutus: haitallisen syötteen käsitteleminen saattoi johtaa koodin suorittamiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-4733

CVE-2023-4734

CVE-2023-4735

CVE-2023-4736

CVE-2023-4738

CVE-2023-4750

CVE-2023-4751

CVE-2023-4752

CVE-2023-4781

Weather

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-41254: Cristian Dinca (Tudor Vianu National High School of Computer Science, Romania)

WebKit

Saatavuus: macOS Sonoma

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee, Cross Republic)

WebKit

Saatavuus: macOS Sonoma

Vaikutus: verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성 (Junsung Lee)

WebKit

Saatavuus: macOS Sonoma

Vaikutus: verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) ja Vitor Pedreira (@0xvhp_) (Agile Information Security)

Kohta päivitetty 16.2.2024

WebKit

Saatavuus: macOS Sonoma

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)

Kohta lisätty 16.2.2024

WebKit Process Model

Saatavuus: macOS Sonoma

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 260757
CVE-2023-41983: 이준성 (Junsung Lee)

WindowServer

Saatavuus: macOS Sonoma

Vaikutus: Verkkosivusto saattoi pystyä käyttämään mikrofonia ilman, että mikrofonin käytön ilmaisin oli näkyvissä.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2023-41975: nimetön tutkija

WindowServer

Saatavuus: macOS Sonoma

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-42858: nimetön tutkija

Kohta lisätty 16.2.2024

Kiitokset

libarchive

Haluamme kiittää avusta Bahaa Naamnehia.

libxml2

Haluamme kiittää avusta OSS-Fuzzia ja Ned Williamsonia (Google Project Zero).

Login Window

Haluamme kiittää avusta nimetöntä tutkijaa.

man

Haluamme kiittää avusta Kirinia (@Pwnrin) ja Roman Mishchenkoa.

Kohta päivitetty 16.2.2024

Power Manager

Haluamme kiittää avusta käyttäjää Xia0o0o0o (@Nyaaaaa_ovo, University of California, San Diego).

Preview

Haluamme kiittää avusta Akshay Nagpalia.

Kohta lisätty 16.2.2024

Reminders

Haluamme kiittää avusta Noah Roskin-Frazeeta ja Prof. J:tä (ZeroClicks.ai Lab).

Setup Assistant

Haluamme kiittää avusta Digvijay Sai Gujjarlapudia ja Kyle Andrewsia.

Kohta lisätty 24.4.2024

System Extensions

Haluamme kiittää avusta Jaron Bradleytä, Ferdous Saljookia ja Austin Prueheria (Jamf Software).

Kohta lisätty 24.4.2024

WebKit

Haluamme kiittää avusta nimetöntä tutkijaa.

 

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: