Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Ventura 13.6.1
Julkaistu 25.10.2023
CoreAnimation
Saatavuus: macOS Ventura
Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40449: Tomi Tokics (@tomitokics, iTomsn0w)
Core Recents
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen.
CVE-2023-42823
Kohta lisätty 16.2.2024
FileProvider
Saatavuus: macOS Ventura
Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-42854: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)
Find My
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-40413: Adam M.
Foundation
Saatavuus: macOS Ventura
Vaikutus: verkkosivusto saattoi saada pääsyn arkaluontoisiin käyttäjätietoihin ratkaistessaan symbolisia linkkejä.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2023-42844: Ron Masas (BreakPoint.SH)
Image Capture
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
Saatavuus: macOS Ventura
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40416: JZ
ImageIO
Saatavuus: macOS Ventura
Vaikutus: Haitallisen kuvan käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-42848: JZ
Kohta lisätty 16.2.2024
IOTextEncryptionFamily
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40423: nimetön tutkija
iperf3
Saatavuus: macOS Ventura
Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-38403
Kernel
Saatavuus: macOS Ventura
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42849: Linus Henze (Pinauten GmbH, pinauten.de)
libc
Saatavuus: macOS Ventura
Vaikutus: haitallisten tietojen käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen käyttäjän asentamisessa apeissa.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40446: inooo
Kohta lisätty 03.11.2023
libxpc
Saatavuus: macOS Ventura
Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2023-42942: Mickey Jin (@patch1t)
Kohta lisätty 16.2.2024
Model I/O
Saatavuus: macOS Ventura
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42856: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
PackageKit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) ja Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Kohta lisätty 16.2.2024
PackageKit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42840: Mickey Jin (@patch1t) ja Csaba Fitzl (@theevilbit), Offensive Security
Kohta lisätty 16.2.2024
PackageKit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä ohittamaan tietyt yksityisyysasetukset.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42889: Mickey Jin (@patch1t)
Kohta lisätty 16.2.2024
PackageKit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-42853: Mickey Jin (@patch1t)
Kohta lisätty 16.2.2024
PackageKit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h), FFRI Security, Inc.
Kohta lisätty 16.2.2024
Passkeys
Saatavuus: macOS Ventura
Vaikutus: hyökkääjä saattoi pystyä käyttämään pääsyavaimia ilman todentautumista
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
CVE-2023-40401: nimetön tutkija ja weize she
Pro Res
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu ja Guang Gong (360 Vulnerability Research Institute)
Pro Res
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) sekä happybabywu ja Guang Gong (360 Vulnerability Research Institute)
Kohta lisätty 16.2.2024
SQLite
Saatavuus: macOS Ventura
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-36191
Kohta lisätty 16.2.2024
talagent
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-40421: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)
Weather
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-41254: Cristian Dinca (Tudor Vianu National High School of Computer Science, Romania)
WindowServer
Saatavuus: macOS Ventura
Vaikutus: Verkkosivusto saattoi pystyä käyttämään mikrofonia ilman, että mikrofonin käytön ilmaisin oli näkyvissä.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-41975: nimetön tutkija
WindowServer
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42858: nimetön tutkija
Kohta lisätty 16.2.2024
Kiitokset
GPU Drivers
Haluamme kiittää avusta nimetöntä tutkijaa.
libarchive
Haluamme kiittää avusta Bahaa Naamnehia.
libxml2
Haluamme kiittää avusta OSS-Fuzzia ja Ned Williamsonia (Google Project Zero).