Informacije o sigurnosnom sadržaju sustava macOS Ventura 13.6
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Ventura 13.6.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Ventura 13.6
Izdano 21. rujna 2023.
Apple Neural Engine
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) (Baidu Security)
Stavka je dodana 26. rujna 2023.
Apple Neural Engine
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Stavka je dodana 26. rujna 2023.
Apple Neural Engine
Dostupno za: macOS Ventura
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-40410: Tim Michaud (@TimGMichaud) (Moveworks.ai)
Stavka je dodana 26. rujna 2023.
Ask to Buy
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38612: Chris Ross (Zoom)
Unos je dodan 22. prosinca 2023.
Biometric Authentication
Dostupno za: macOS Ventura
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2023-41232: Liang Wei (PixiePoint Security)
Stavka je dodana 26. rujna 2023.
ColorSync
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-40406: JeongOhKyea (Theori)
Stavka je dodana 26. rujna 2023.
CoreAnimation
Dostupno za: macOS Ventura
Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40420: 이준성(Junsung Lee) (Cross Republic)
Stavka je dodana 26. rujna 2023.
Kernel
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.)
Stavka je dodana 26. rujna 2023.
Kernel
Dostupno za: macOS Ventura
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-41981: Linus Henze (Pinauten GmbH) (pinauten.de)
Stavka je dodana 26. rujna 2023.
Kernel
Dostupno za: macOS Ventura
Učinak: lokalni napadač mogao bi povećati svoje ovlasti. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 16.7.
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-41992: Bill Marczak (The Citizen Lab) iz Munk škole Sveučilišta u Torontu i Maddie Stone (Skupina za analizu prijetnji tvrtke Google)
libxpc
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2023-41073: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
Stavka je dodana 26. rujna 2023.
libxpc
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla izbrisati datoteke za koje nema dozvolu
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-40454: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
Stavka je dodana 26. rujna 2023.
libxslt
Dostupno za: macOS Ventura
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) (PK Security)
Stavka je dodana 26. rujna 2023.
Maps
Dostupno za: macOS Ventura
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-40427: Adam M. i Wojciech Regula (SecuRing) (wojciechregula.blog)
Stavka je dodana 26. rujna 2023.
Pro Res
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-41063: tim tvrtke Certik Skyfall
Stavka je dodana 26. rujna 2023.
Sandbox
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Stavka je dodana 26. rujna 2023.
Sandbox
Dostupno za: macOS Ventura
Učinak: i dalje se mogu pokretati aplikacije koje nisu prošle provjeru
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-41996: Yiğit Can YILMAZ (@yilmazcanyigit) i Mickey Jin (@patch1t)
Stavka je dodana 26. rujna 2023.
Security
Dostupno za: macOS Ventura
Učinak: zlonamjerne aplikacije mogle bi zaobići provjeru valjanosti potpisa. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 16.7.
Opis: riješen je problem provjere valjanosti certifikata.
CVE-2023-41991: Bill Marczak (The Citizen Lab) iz Munk škole Sveučilišta u Torontu i Maddie Stone (Skupina za analizu prijetnji tvrtke Google)
Share Sheet
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivim podacima zabilježenima kada korisnik podijeli vezu
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-41070: Kirin (@Pwnrin)
Stavka je dodana 26. rujna 2023.
StorageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.
CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins
Stavka je dodana 26. rujna 2023.
Dodatna zahvala
Apple Neural Engine
Na pomoći zahvaljujemo korisniku pattern-f (@pattern_F_) (Ant Security Light-Year Lab).
Unos je dodan 22. prosinca 2023.
AppSandbox
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Stavka je dodana 26. rujna 2023.
Kernel
Željeli bismo se zahvaliti Billu Marczaku iz laboratorija The Citizen Lab iz Munk škole Sveučilišta u Torontu i Maddie Stone iz Skupine za analizu prijetnji tvrtke Google na pomoći.
libxml2
Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.
Stavka je dodana 26. rujna 2023.
WebKit
Željeli bismo se zahvaliti Khiemu Tranu i Narendri Bhatiju iz tvrtke Suma Soft Pvt. Ltd, Pune (India) na pomoći.
Stavka je dodana 26. rujna 2023.
WebRTC
Na pomoći zahvaljujemo anonimnom istraživaču.
Stavka je dodana 26. rujna 2023.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.