Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Sonoma 14.1
Julkaistu 25.10.2023
App Support
Saatavuus: macOS Sonoma
Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-30774
AppSandbox
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-40444: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)
Automation
Saatavuus: macOS Sonoma
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42952: Zhipeng Huo (@R3dF09), Tencent Security Xuanwu Lab (xlab.tencent.com)
Kohta lisätty 16.2.2024
Bluetooth
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi saada Bluetoothin käyttöön luvattomasti.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-42945
Kohta lisätty 16.2.2024
Contacts
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-41072: Wojciech Regula (SecuRing, wojciechregula.blog) ja Csaba Fitzl (@theevilbit, Offensive Security)
CVE-2023-42857: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)
CoreAnimation
Saatavuus: macOS Sonoma
Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40449: Tomi Tokics (@tomitokics, iTomsn0w)
Core Recents
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen.
CVE-2023-42823
Kohta lisätty 16.2.2024
Emoji
Saatavuus: macOS Sonoma
Vaikutus: hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia root-käyttäjänä lukitusta näytöstä.
Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.
CVE-2023-41989: Jewel Lambert
FileProvider
Saatavuus: macOS Sonoma
Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-42854: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)
Find My
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-40413: Adam M.
Find My
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-42834: Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 16.2.2024
Foundation
Saatavuus: macOS Sonoma
Vaikutus: verkkosivusto saattoi saada pääsyn arkaluontoisiin käyttäjätietoihin ratkaistessaan symbolisia linkkejä.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2023-42844: Ron Masas (BreakPoint.SH)
Game Center
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-42953: Michael (Biscuit) Thomas (@biscuit@social.lol)
Kohta lisätty 16.2.2024
ImageIO
Saatavuus: macOS Sonoma
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40416: JZ
ImageIO
Saatavuus: macOS Sonoma
Vaikutus: haitallisen kuvan käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-42848: JZ
Kohta lisätty 16.2.2024
IOTextEncryptionFamily
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40423: nimetön tutkija
iperf3
Saatavuus: macOS Sonoma
Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-38403
Kernel
Saatavuus: macOS Sonoma
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42849: Linus Henze (Pinauten GmbH, pinauten.de)
LaunchServices
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.
CVE-2023-42850: Thijs Alkemade (@xnyhps, Computest Sector 7), Brian McNulty, Zhongquan Li
libc
Saatavuus: macOS Sonoma
Vaikutus: haitallisten tietojen käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen käyttäjän asentamisessa apeissa.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40446: inooo
Kohta lisätty 3.11.2023
libxpc
Saatavuus: macOS Sonoma
Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2023-42942: Mickey Jin (@patch1t)
Kohta lisätty 16.2.2024
Login Window
Saatavuus: macOS Sonoma
Vaikutus: hyökkääjä, joka tiesi tavallisen käyttäjän tunnukset, saattoi pystyä avaamaan toisen tavallisen käyttäjän lukitun näytön lukituksen samalla Macilla.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser & CPU IT, inc, Matthew McLean, Steven Maser ja Concentrixin IT-tiimi
Kohta päivitetty 27.10.2023
LoginWindow
Saatavuus: macOS Sonoma
Vaikutus: paikallinen hyökkääjä saattoi pystyä näkemään edellisen sisäänkirjautuneen käyttäjän työpöydän nopean käyttäjän vaihtuvalta näytöltä.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-42935: ASentientBot
Kohta lisätty 22.1.2024, päivitetty 24.4.2024
Mail Drafts
Saatavuus: macOS Sonoma
Vaikutus: Kätke osoitteeni ‑toiminto saatettiin poistaa käytöstä odottamattomasti.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-40408: Grzegorz Riegel
Maps
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-40405: Csaba Fitzl (@theevilbit, Offensive Security)
MediaRemote
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-28826: Meng Zhang (鲸落, NorthSea)
Kohta lisätty 7.3.2024
Model I/O
Saatavuus: macOS Sonoma
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42856: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
Networking
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-40404: Certik Skyfall Team
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) ja Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Kohta lisätty 16.2.2024
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42840: Mickey Jin (@patch1t) ja Csaba Fitzl (@theevilbit), Offensive Security
Kohta lisätty 16.2.2024
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-42853: Mickey Jin (@patch1t)
Kohta lisätty 16.2.2024
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h), FFRI Security, Inc.
Kohta lisätty 16.2.2024
PackageKit
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä ohittamaan tietyt yksityisyysasetukset.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42889: Mickey Jin (@patch1t)
Kohta lisätty 16.2.2024
Passkeys
Saatavuus: macOS Sonoma
Vaikutus: hyökkääjä saattoi pystyä käyttämään pääsyavaimia ilman todentautumista
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-42847: nimetön tutkija
Photos
Saatavuus: macOS Sonoma
Vaikutus: Kätketyt-albumin kuvia saattoi katsoa ilman todentautumista
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-42845: Bistrit Dahal
Kohta päivitetty 16.2.2024
Pro Res
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu ja Guang Gong (360 Vulnerability Research Institute)
Pro Res
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) sekä happybabywu ja Guang Gong (360 Vulnerability Research Institute)
Kohta lisätty 16.2.2024
quarantine
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.
Kuvaus: käyttöoikeusongelma ratkaistiin parantamalla eristystä.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 16.2.2024
RemoteViewServices
Saatavuus: macOS Sonoma
Vaikutus: hyökkääjä saattoi pystyä käyttämään käyttäjätietoja.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-42835: Mickey Jin (@patch1t)
Kohta lisätty 16.2.2024
Safari
Saatavuus: macOS Sonoma
Vaikutus: haitallisella verkkosivustolla käynti saattoi paljastaa selaushistorian.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-41977: Alex Renda
Safari
Saatavuus: macOS Sonoma
Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-42438: Rafay Baloch, Muhammad Samaak ja nimetön tutkija
Sandbox
Saatavuus: macOS Sonoma
Vaikutus: hyökkääjä saattoi pystyä käyttämään liitettyjä verkkotaltioita, jotka on liitetty kotihakemistoon.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Kohta lisätty 16.2.2024
Sandbox
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Kohta lisätty 16.2.2024
Share Sheet
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula (SecuRing, wojciechregula.blog) ja Cristian Dinca (Tudor Vianu National High School of Computer Science, Romania)
Kohta lisätty 16.2.2024
Siri
Saatavuus: macOS Sonoma
Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.
Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Kohta päivitetty 16.2.2024
Siri
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-42946
Kohta lisätty 16.2.2024
SQLite
Saatavuus: macOS Sonoma
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-36191
Kohta lisätty 16.2.2024
talagent
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-40421: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)
Terminal
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42842: nimetön tutkija
Vim
Saatavuus: macOS Sonoma
Vaikutus: haitallisen syötteen käsitteleminen saattoi johtaa koodin suorittamiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-4733
CVE-2023-4734
CVE-2023-4735
CVE-2023-4736
CVE-2023-4738
CVE-2023-4750
CVE-2023-4751
CVE-2023-4752
CVE-2023-4781
Weather
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-41254: Cristian Dinca (Tudor Vianu National High School of Computer Science, Romania)
WebKit
Saatavuus: macOS Sonoma
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee, Cross Republic)
WebKit
Saatavuus: macOS Sonoma
Vaikutus: verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성 (Junsung Lee)
WebKit
Saatavuus: macOS Sonoma
Vaikutus: verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) ja Vitor Pedreira (@0xvhp_) (Agile Information Security)
Kohta päivitetty 16.2.2024
WebKit
Saatavuus: macOS Sonoma
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Kohta lisätty 16.2.2024
WebKit Process Model
Saatavuus: macOS Sonoma
Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성 (Junsung Lee)
WindowServer
Saatavuus: macOS Sonoma
Vaikutus: Verkkosivusto saattoi pystyä käyttämään mikrofonia ilman, että mikrofonin käytön ilmaisin oli näkyvissä.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-41975: nimetön tutkija
WindowServer
Saatavuus: macOS Sonoma
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42858: nimetön tutkija
Kohta lisätty 16.2.2024
Kiitokset
libarchive
Haluamme kiittää avusta Bahaa Naamnehia.
libxml2
Haluamme kiittää avusta OSS-Fuzzia ja Ned Williamsonia (Google Project Zero).
Login Window
Haluamme kiittää avusta nimetöntä tutkijaa.
man
Haluamme kiittää avusta Kirinia (@Pwnrin) ja Roman Mishchenkoa.
Kohta päivitetty 16.2.2024
Power Manager
Haluamme kiittää avusta käyttäjää Xia0o0o0o (@Nyaaaaa_ovo, University of California, San Diego).
Preview
Haluamme kiittää avusta Akshay Nagpalia.
Kohta lisätty 16.2.2024
Reminders
Haluamme kiittää avusta Noah Roskin-Frazeeta ja Prof. J:tä (ZeroClicks.ai Lab).
Setup Assistant
Haluamme kiittää avusta Digvijay Sai Gujjarlapudia ja Kyle Andrewsia.
Kohta lisätty 24.4.2024
System Extensions
Haluamme kiittää avusta Jaron Bradleytä, Ferdous Saljookia ja Austin Prueheria (Jamf Software).
Kohta lisätty 24.4.2024
WebKit
Haluamme kiittää avusta nimetöntä tutkijaa.