Informacije o sigurnosnom sadržaju sustava macOS Ventura 13.6

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Ventura 13.6.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Ventura 13.6

Izdano 21. rujna 2023.

Apple Neural Engine

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) (Baidu Security)

Stavka je dodana 26. rujna 2023.

Apple Neural Engine

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-41071: Mohamed GHANNAM (@_simo36)

Stavka je dodana 26. rujna 2023.

Apple Neural Engine

Dostupno za: macOS Ventura

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-40410: Tim Michaud (@TimGMichaud) (Moveworks.ai)

Stavka je dodana 26. rujna 2023.

Ask to Buy

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-38612: Chris Ross (Zoom)

Unos je dodan 22. prosinca 2023.

Biometric Authentication

Dostupno za: macOS Ventura

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2023-41232: Liang Wei (PixiePoint Security)

Stavka je dodana 26. rujna 2023.

ColorSync

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla čitati proizvoljne datoteke

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-40406: JeongOhKyea (Theori)

Stavka je dodana 26. rujna 2023.

CoreAnimation

Dostupno za: macOS Ventura

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40420: 이준성(Junsung Lee) (Cross Republic)

Stavka je dodana 26. rujna 2023.

Kernel

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.)

Stavka je dodana 26. rujna 2023.

Kernel

Dostupno za: macOS Ventura

Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-41981: Linus Henze (Pinauten GmbH) (pinauten.de)

Stavka je dodana 26. rujna 2023.

Kernel

Dostupno za: macOS Ventura

Učinak: lokalni napadač mogao bi povećati svoje ovlasti. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 16.7.

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-41992: Bill Marczak (The Citizen Lab) iz Munk škole Sveučilišta u Torontu i Maddie Stone (Skupina za analizu prijetnji tvrtke Google)

libxpc

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2023-41073: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)

Stavka je dodana 26. rujna 2023.

libxpc

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla izbrisati datoteke za koje nema dozvolu

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2023-40454: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)

Stavka je dodana 26. rujna 2023.

libxslt

Dostupno za: macOS Ventura

Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) (PK Security)

Stavka je dodana 26. rujna 2023.

Maps

Dostupno za: macOS Ventura

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-40427: Adam M. i Wojciech Regula (SecuRing) (wojciechregula.blog)

Stavka je dodana 26. rujna 2023.

Pro Res

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-41063: tim tvrtke Certik Skyfall

Stavka je dodana 26. rujna 2023.

Sandbox

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Stavka je dodana 26. rujna 2023.

Sandbox

Dostupno za: macOS Ventura

Učinak: i dalje se mogu pokretati aplikacije koje nisu prošle provjeru

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-41996: Yiğit Can YILMAZ (@yilmazcanyigit) i Mickey Jin (@patch1t)

Stavka je dodana 26. rujna 2023.

Security

Dostupno za: macOS Ventura

Učinak: zlonamjerne aplikacije mogle bi zaobići provjeru valjanosti potpisa. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 16.7.

Opis: riješen je problem provjere valjanosti certifikata.

CVE-2023-41991: Bill Marczak (The Citizen Lab) iz Munk škole Sveučilišta u Torontu i Maddie Stone (Skupina za analizu prijetnji tvrtke Google)

Share Sheet

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla pristupiti osjetljivim podacima zabilježenima kada korisnik podijeli vezu

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-41070: Kirin (@Pwnrin)

Stavka je dodana 26. rujna 2023.

StorageKit

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla čitati proizvoljne datoteke

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins

Stavka je dodana 26. rujna 2023.

Dodatna zahvala

Apple Neural Engine

Na pomoći zahvaljujemo korisniku pattern-f (@pattern_F_) (Ant Security Light-Year Lab).

Unos je dodan 22. prosinca 2023.

AppSandbox

Zahvaljujemo Kirinu (@Pwnrin) na pomoći.

Stavka je dodana 26. rujna 2023.

Kernel

Željeli bismo se zahvaliti Billu Marczaku iz laboratorija The Citizen Lab iz Munk škole Sveučilišta u Torontu i Maddie Stone iz Skupine za analizu prijetnji tvrtke Google na pomoći.

libxml2

Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.

Stavka je dodana 26. rujna 2023.

WebKit

Željeli bismo se zahvaliti Khiemu Tranu i Narendri Bhatiju iz tvrtke Suma Soft Pvt. Ltd, Pune (India) na pomoći.

Stavka je dodana 26. rujna 2023.

WebRTC

Na pomoći zahvaljujemo anonimnom istraživaču.

Stavka je dodana 26. rujna 2023.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: