O sigurnosnom sadržaju sustava macOS Sonoma 14.1
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Sonoma 14.1.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Sonoma 14.1
Izdano 25. listopada 2023.
App Support
Dostupno za: macOS Sonoma
Učinak: raščlanjivanje datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-30774
AppSandbox
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-40444: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Automation
Dostupno za: macOS Sonoma
Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42952: Zhipeng Huo (@R3dF09) iz tvrtke Tencent Security Xuanwu Lab (xlab.tencent.com)
Unos je dodan 16. veljače 2024.
Bluetooth
Dostupno za: macOS Sonoma
Učinak: aplikacija može steći neovlašten pristup Bluetoothu
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-42945
Unos je dodan 16. veljače 2024.
Contacts
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-41072: Wojciech Regula (SecuRing) (wojciechregula.blog) i Csaba Fitzl (@theevilbit) (Offensive Security)
CVE-2023-42857: Noah Roskin-Frazee i profesor J. (ZeroClicks.ai Lab)
CoreAnimation
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40449: Tomi Tokics (@tomitokics) iz tvrtke iTomsn0w
Core Recents
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen čišćenjem zapisnika
CVE-2023-42823
Unos je dodan 16. veljače 2024.
Emotikoni
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao sa zaključanog zaslona izvršiti proizvoljno odabran kod kao korijenski korisnik
Opis: problem je riješen ograničavanjem opcija na zaključanom uređaju.
CVE-2023-41989: Jewel Lambert
FileProvider
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge klijentima sigurnosti krajnjih točaka
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-42854: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Find My
Dostupno za: macOS Sonoma
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-40413: Adam M.
Find My
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s privatnosti riješen je poboljšanim rukovanjem datotekama.
CVE-2023-42834: Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Unos je dodan 16. veljače 2024.
Foundation
Dostupno za: macOS Sonoma
Učinak: web-mjesto moglo bi pristupiti osjetljivim korisničkim podacima prilikom rješavanja simboličkih veza
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2023-42844: Ron Masas iz tvrtke BreakPoint.SH
Game Center
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-42953: Michael (Biscuit) Thomas (@biscuit@social.lol)
Unos je dodan 16. veljače 2024.
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40416: JZ
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42848: JZ
Unos je dodan 16. veljače 2024.
IOTextEncryptionFamily
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40423: anonimni istraživač
iperf3
Dostupno za: macOS Sonoma
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38403
Kernel
Dostupno za: macOS Sonoma
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42849: Linus Henze iz tvrtke Pinauten GmbH (pinauten.de)
LaunchServices
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2023-42850: Thijs Alkemade (@xnyhps) (Computest Sector 7), Zhongquan Li (@Guluisacat) i Bohdan Stasiuk (@Bohdan_Stasiuk)
Unos je ažuriran 29. svibnja 2024.
libc
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjernih ulaznih podataka može dovesti do izvršavanja proizvoljnog koda u aplikacijama koje je instalirao korisnik
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40446: inooo
Unos je dodan 3. studenoga 2023.
libxpc
Dostupno za: macOS Sonoma
Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2023-42942: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
Login Window
Dostupno za: macOS Sonoma
Učinak: napadač koji zna vjerodajnice jednog standardnog korisnika može otključati zaključani zaslon drugog standardnog korisnika na istom Mac računalu
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser & CPU IT, inc, Matthew McLean, Steven Maser i Avalon IT Team (Concentrix)
Unos je ažuriran 29. svibnja 2024.
LoginWindow
Dostupno za: macOS Sonoma
Učinak: lokalni napadač mogao bi vidjeti radnu površinu prethodno prijavljenog korisnika sa zaslona za brzu zamjenu korisnika
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42935: ASentientBot
Unos je dodan 22. siječnja 2024., a ažuriran 24. travnja 2024.
Mail Drafts
Dostupno za: macOS Sonoma
Učinak: značajka Sakrij moj e-mail može se neočekivano deaktivirati
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-40408: Grzegorz Riegel
Maps
Dostupno za: macOS Sonoma
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-40405: Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
MediaRemote
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-28826: Meng Zhang (鲸落) iz tvrtke NorthSea
Unos je dodan 7. ožujka 2024.
Model I/O
Dostupno za: macOS Sonoma
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42856: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)
Networking
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-40404: tim tvrtke Certik Skyfall
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) i Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42840: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42853: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) iz tvrtke FFRI Security, Inc.
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42889: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
Passkeys
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao pristupiti poveznim ključevima bez provjere autentičnosti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42847: anonimni istraživač
Photos
Dostupno za: macOS Sonoma
Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42845: Bistrit Dahal
Unos je ažuriran 16. veljače 2024.
Pro Res
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong iz instituta 360 Vulnerability Research Institute
Pro Res
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) te happybabywu i Guang Gong iz instituta 360 Vulnerability Research Institute
Unos je dodan 16. veljače 2024.
quarantine
Dostupno za: macOS Sonoma
Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima
Opis: problem s pristupom riješen je poboljšanjima ograničene memorije.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Unos je dodan 16. veljače 2024.
RemoteViewServices
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao pristupiti korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42835: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
Safari
Dostupno za: macOS Sonoma
Učinak: posjetom zlonamjernom web-mjestu mogla bi se otkriti povijest pregledavanja
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-41977: Alex Renda
Safari
Dostupno za: macOS Sonoma
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42438: Rafay Baloch i Muhammad Samaak te anonimni istraživač
Sandbox
Dostupno za: macOS Sonoma
Utjecaj: napadač bi mogao pristupiti povezanim mrežnim jedinicama postavljenim u matični direktorij
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Unos je dodan 16. veljače 2024.
Sandbox
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Unos je dodan 16. veljače 2024.
Share Sheet
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula iz tvrtke SecuRing (wojciechregula.blog) i Cristian Dinca iz državne srednje škole za računalnu znanost „Tudor Vianu”, Rumunjska
Unos je dodan 16. veljače 2024.
Siri
Dostupno za: macOS Sonoma
Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima
Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Unos je ažuriran 16. veljače 2024.
Siri
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-42946
Unos je dodan 16. veljače 2024.
SQLite
Dostupno za: macOS Sonoma
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-36191
Unos je dodan 16. veljače 2024.
talagent
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-40421: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Terminal
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42842: anonimni istraživač
Vim
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjernog unosa mogla bi dovesti do izvršavanja koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-4733
CVE-2023-4734
CVE-2023-4735
CVE-2023-4736
CVE-2023-4738
CVE-2023-4750
CVE-2023-4751
CVE-2023-4752
CVE-2023-4781
Weather
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-41254: Cristian Dinca (Nacionalna srednja škola Tudor Vianu za računalnu znanost, Rumunjska)
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) iz tvrtke Cross Republic
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: logički problem riješen je poboljšanim provjerama.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) i Vitor Pedreira (@0xvhp_) iz tvrtke Agile Information Security
Unos je ažuriran 16. veljače 2024.
WebKit
Dostupno za: macOS Sonoma
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Unos je dodan 16. veljače 2024.
WebKit Process Model
Dostupno za: macOS Sonoma
Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
WindowServer
Dostupno za: macOS Sonoma
Učinak: web-mjesto može pristupiti mikrofonu bez da se prikaže indikator korištenja mikrofona
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-41975: anonimni istraživač
WindowServer
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42858: anonimni istraživač
Unos je dodan 16. veljače 2024.
Dodatna zahvala
libarchive
Zahvaljujemo na pomoći Bahaau Naamnehu.
libxml2
Željeli bismo zahvaliti timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google na pomoći.
Login Window
Na pomoći zahvaljujemo anonimnom istraživaču.
man
Željeli bismo zahvaliti Kirinu (@Pwnrin) i Romanu Mishchenku na pomoći.
Unos je ažuriran 16. veljače 2024.
Power Manager
Na pomoći zahvaljujemo korisniku Xia0o0o0o (@Nyaaaaa_ovo) (University of California, San Diego).
Preview
Na pomoći zahvaljujemo Akshayu Nagpalu.
Unos je dodan 16. veljače 2024.
Reminders
Na pomoći zahvaljujemo Noahu Roskin-Frazeeu i korisniku Prof. J. (ZeroClicks.ai Lab).
Setup Assistant
Zahvaljujemo na pomoći Digvijayu Saiju Gujjarlapudiju, Kyleu Andrewsu i anonimnom istraživaču.
Unos je dodan 24. travnja 2024., a ažuriran 29. svibnja 2024.
System Extensions
Zahvaljujemo Jaronu Bradleyju, Ferdousu Saljookiju i Austinu Prueheru (Jamf Software) na pomoći.
Unos je dodan 24. travnja 2024.
WebKit
Na pomoći zahvaljujemo anonimnom istraživaču.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.