Tietoja macOS Ventura 13.6.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Ventura 13.6.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

macOS Ventura 13.6.3

Julkaistu 11.12.2023

Accounts

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-42919: Kirin (@Pwnrin)

AppleEvents

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2023-42894: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)

Archive Utility

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-42924: Mickey Jin (@patch1t)

Assets

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia

Kuvaus: ongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2023-42896: Mickey Jin (@patch1t)

Kohta lisätty 22.3.2024

Automation

Saatavuus: macOS Ventura

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-42952: Zhipeng Huo (@R3dF09), Tencent Security Xuanwu Lab (xlab.tencent.com)

Kohta lisätty 16.2.2024

AVEVideoEncoder

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2023-42884: nimetön tutkija

CoreServices

Saatavuus: macOS Ventura

Vaikutus: käyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)

DiskArbitration

Saatavuus: macOS Ventura

Vaikutus: Prosessi saattoi saada ylläpitäjän oikeudet ilman asianmukaista todennusta.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-42931: Yann GASCUEL (Alter Solutions)

Kohta lisätty 22.3.2024

FileURL

Saatavuus: macOS Ventura

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-42892: Anthony Cruz (@App Tyrant Corp)

Kohta lisätty 22.3.2024

Find My

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2023-42922: Wojciech Regula (SecuRing, wojciechregula.blog)

Find My

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tiedostojen käsittelyä.

CVE-2023-42834: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 16.2.2024

ImageIO

Saatavuus: macOS Ventura

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-42899: Meysam Firouzi @R00tkitSMM ja Junsung Lee

IOKit

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä tarkkailemaan näppäinpainalluksia ilman käyttäjän lupaa.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2023-42891: nimetön tutkija

IOUSBDeviceFamily

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

Kohta lisätty 22.3.2024

Kernel

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv – @Synacktiv)

Libsystem

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: Käyttöoikeusongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi ja lisäämällä tarkistuksia.

CVE-2023-42893

Kohta lisätty 22.3.2024

Model I/O

Saatavuus: macOS Ventura

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2023-3618

Kohta lisätty 22.3.2024

ncurses

Saatavuus: macOS Ventura

Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-19185

CVE-2020-19186

CVE-2020-19187

CVE-2020-19188

CVE-2020-19189

CVE-2020-19190

quarantine

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.

Kuvaus: käyttöoikeusongelma ratkaistiin parantamalla eristystä.

CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) ja Csaba Fitzl (@theevilbit), Offensive Security

Kohta lisätty 16.2.2024

Sandbox

Saatavuus: macOS Ventura

Vaikutus: hyökkääjä saattoi pystyä käyttämään liitettyjä verkkotaltioita, jotka on liitetty kotihakemistoon.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

Kohta lisätty 16.2.2024

Sandbox

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2023-42936

Kohta lisätty 22.3.2024

Shell

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2023-42930: Arsenii Kostromin (0x3c3e)

Kohta lisätty 22.3.2024

TCC

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-42932: Zhongquan Li (@Guluisacat)

TCC

Saatavuus: macOS Ventura

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2023-42947: Zhongquan Li (@Guluisacat, JingDongin Dawn Security Lab)

Kohta lisätty 22.3.2024

Vim

Saatavuus: macOS Ventura

Vaikutus: haitallisen tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu päivittämällä Vim-versioon 9.0.1969.

CVE-2023-5344

 

Kiitokset

Preview

Haluamme kiittää avusta Akshay Nagpalia.

Kohta lisätty 16.2.2024

 

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: