Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Ventura 13.6.3
Julkaistu 11.12.2023
Accounts
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-42894: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)
Archive Utility
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: ongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-42896: Mickey Jin (@patch1t)
Kohta lisätty 22.3.2024
Automation
Saatavuus: macOS Ventura
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42952: Zhipeng Huo (@R3dF09), Tencent Security Xuanwu Lab (xlab.tencent.com)
Kohta lisätty 16.2.2024
AVEVideoEncoder
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.
CVE-2023-42884: nimetön tutkija
CoreServices
Saatavuus: macOS Ventura
Vaikutus: käyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
DiskArbitration
Saatavuus: macOS Ventura
Vaikutus: Prosessi saattoi saada ylläpitäjän oikeudet ilman asianmukaista todennusta.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42931: Yann GASCUEL (Alter Solutions)
Kohta lisätty 22.3.2024
FileURL
Saatavuus: macOS Ventura
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-42892: Anthony Cruz (@App Tyrant Corp)
Kohta lisätty 22.3.2024
Find My
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-42922: Wojciech Regula (SecuRing, wojciechregula.blog)
Find My
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla tiedostojen käsittelyä.
CVE-2023-42834: Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 16.2.2024
ImageIO
Saatavuus: macOS Ventura
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42899: Meysam Firouzi @R00tkitSMM ja Junsung Lee
IOKit
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä tarkkailemaan näppäinpainalluksia ilman käyttäjän lupaa.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-42891: nimetön tutkija
IOUSBDeviceFamily
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Kohta lisätty 22.3.2024
Kernel
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv – @Synacktiv)
Libsystem
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: Käyttöoikeusongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi ja lisäämällä tarkistuksia.
CVE-2023-42893
Kohta lisätty 22.3.2024
Model I/O
Saatavuus: macOS Ventura
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-3618
Kohta lisätty 22.3.2024
ncurses
Saatavuus: macOS Ventura
Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
quarantine
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.
Kuvaus: käyttöoikeusongelma ratkaistiin parantamalla eristystä.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) ja Csaba Fitzl (@theevilbit), Offensive Security
Kohta lisätty 16.2.2024
Sandbox
Saatavuus: macOS Ventura
Vaikutus: hyökkääjä saattoi pystyä käyttämään liitettyjä verkkotaltioita, jotka on liitetty kotihakemistoon.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Kohta lisätty 16.2.2024
Sandbox
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.
CVE-2023-42936
Kohta lisätty 22.3.2024
Shell
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Kohta lisätty 22.3.2024
TCC
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Saatavuus: macOS Ventura
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2023-42947: Zhongquan Li (@Guluisacat, JingDongin Dawn Security Lab)
Kohta lisätty 22.3.2024
Vim
Saatavuus: macOS Ventura
Vaikutus: haitallisen tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu päivittämällä Vim-versioon 9.0.1969.
CVE-2023-5344
Kiitokset
Preview
Haluamme kiittää avusta Akshay Nagpalia.
Kohta lisätty 16.2.2024