Informacije o sigurnosnom sadržaju sustava macOS Ventura 13.6.1
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Ventura 13.6.1.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Ventura 13.6.1
Izdano 25. listopada 2023.
CoreAnimation
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40449: Tomi Tokics (@tomitokics) iz tvrtke iTomsn0w
Core Recents
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen čišćenjem zapisnika
CVE-2023-42823
Unos je dodan 16. veljače 2024.
FileProvider
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge klijentima sigurnosti krajnjih točaka
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-42854: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Find My
Dostupno za: macOS Ventura
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-40413: Adam M.
Foundation
Dostupno za: macOS Ventura
Učinak: web-mjesto moglo bi pristupiti osjetljivim korisničkim podacima prilikom rješavanja simboličkih veza
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2023-42844: Ron Masas iz tvrtke BreakPoint.SH
Image Capture
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
Dostupno za: macOS Ventura
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40416: JZ
ImageIO
Dostupno za: macOS Ventura
Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42848: JZ
Unos je dodan 16. veljače 2024.
IOTextEncryptionFamily
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40423: anonimni istraživač
iperf3
Dostupno za: macOS Ventura
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38403
Kernel
Dostupno za: macOS Ventura
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42849: Linus Henze iz tvrtke Pinauten GmbH (pinauten.de)
libc
Dostupno za: macOS Ventura
Učinak: obrada zlonamjernih ulaznih podataka može dovesti do izvršavanja proizvoljnog koda u aplikacijama koje je instalirao korisnik
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40446: inooo
Unos je dodan 3. studenoga 2023.
libxpc
Dostupno za: macOS Ventura
Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2023-42942: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
Model I/O
Dostupno za: macOS Ventura
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42856: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) i Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42840: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42889: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42853: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) iz tvrtke FFRI Security, Inc.
Unos je dodan 16. veljače 2024.
Passkeys
Dostupno za: macOS Ventura
Učinak: napadač bi mogao pristupiti poveznim ključevima bez provjere autentičnosti
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2023-40401: anonimni istraživač i weize she
Pro Res
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong iz instituta 360 Vulnerability Research Institute
Pro Res
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) te happybabywu i Guang Gong iz instituta 360 Vulnerability Research Institute
Unos je dodan 16. veljače 2024.
SQLite
Dostupno za: macOS Ventura
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-36191
Unos je dodan 16. veljače 2024.
talagent
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-40421: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Weather
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-41254: Cristian Dinca (Nacionalna srednja škola Tudor Vianu za računalnu znanost, Rumunjska)
WindowServer
Dostupno za: macOS Ventura
Učinak: web-mjesto može pristupiti mikrofonu bez da se prikaže indikator korištenja mikrofona
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-41975: anonimni istraživač
WindowServer
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42858: anonimni istraživač
Unos je dodan 16. veljače 2024.
Dodatna zahvala
GPU Drivers
Na pomoći zahvaljujemo anonimnom istraživaču.
libarchive
Zahvaljujemo na pomoći Bahaau Naamnehu.
libxml2
Željeli bismo zahvaliti timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.