Informacije o sigurnosnom sadržaju sustava macOS Ventura 13.5

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

Izdano 24. srpnja 2023.

Accounts

Dostupno za: macOS Ventura

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-40439: Kirin (@Pwnrin)

Unos je dodan 21. prosinca 2023.

AMD

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2023-38616: ABC Research s.r.o.

Stavka dodana 06. rujna 2023.

Apple Neural Engine

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-34425: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)

Unos je dodan 27. srpnja 2023.

Apple Neural Engine

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-38580: Mohamed GHANNAM (@_simo36)

AppleMobileFileIntegrity

Dostupno za: macOS Ventura

Učinak: aplikacija može odrediti korisnikovu trenutnu lokaciju

Opis: problem smanjenja verzije koji utječe na Mac računala s Intelovim čipom riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2023-36862: Mickey Jin (@patch1t)

AppSandbox

Dostupno za: macOS Ventura

Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2023-32364: Gergely Kalman (@gergely_kalman)

Assets

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2023-35983: Mickey Jin (@patch1t)

CFNetwork

Dostupno za: macOS Ventura

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-40392: Wojciech Regula (SecuRing) (wojciechregula.blog)

Stavka dodana 06. rujna 2023.

crontabs

Dostupno za: macOS Ventura

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2023-42828: Erhad Husovic

Unos je dodan 21. prosinca 2023.

CUPS

Dostupno za: macOS Ventura

Učinak: korisnik na povlaštenom mrežnom položaju mogao bi otkriti povjerljive podatke

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-34241: Sei K.

Unos je dodan 27. srpnja 2023.

curl

Dostupno za: macOS Ventura

Učinak: veći broj problema u medijateci curl

Opis: veći broj problema riješen je ažuriranjem medijateke curl.

CVE-2023-28319

CVE-2023-28320

CVE-2023-28321

CVE-2023-28322

Find My

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla čitati osjetljive podatke o lokaciji

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2023-32416: Wojciech Regula (SecuRing) (wojciechregula.blog)

Find My

Dostupno za: macOS Ventura

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-40437: Kirin (@Pwnrin) i Wojciech Regula (SecuRing) (wojciechregula.blog)

Unos je dodan 21. prosinca 2023.

Grapher

Dostupno za: macOS Ventura

Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-32418: Bool (YunShangHuaAn) (云 上 华安)

CVE-2023-36854: Bool (YunShangHuaAn) (云 上 华安)

ImageIO

Dostupno za: macOS Ventura

Učinak: obrada zlonamjerne slike mogla bi dovesti do odbijanja usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-3970: otkrio OSS-Fuzz

Stavka dodana 06. rujna 2023.

Kernel

Dostupno za: macOS Ventura

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2023-28200: Arsenii Kostromin (0x3c3e)

Stavka dodana 06. rujna 2023.

Kernel

Dostupno za: macOS Ventura

Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2023-38590: Zweig (Kunlun Lab)

Unos je dodan 27. srpnja 2023.

Kernel

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Unos je dodan 27. srpnja 2023.

Kernel

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-36495: 香农的三蹦子 (Pangu Lab)

Unos je dodan 27. srpnja 2023.

Kernel

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2023-37285: Arsenii Kostromin (0x3c3e)

Unos je dodan 27. srpnja 2023.

Kernel

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-38604: anonimni istraživač

Unos je dodan 27. srpnja 2023.

Kernel

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.)

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs SG Pte. Ltd.)

CVE-2023-38261: anonimni istraživač

CVE-2023-38424: tim Certik Skyfall

CVE-2023-38425: tim Certik Skyfall

Kernel

Dostupno za: macOS Ventura

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-32381: anonimni istraživač

CVE-2023-32433: Zweig (Kunlun Lab)

CVE-2023-35993: Kaitao Xie i Xiaolong Bai (Alibaba Group)

Kernel

Dostupno za: macOS Ventura

Učinak: korisnik bi si mogao povećati ovlasti

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-38410: anonimni istraživač

Kernel

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla izmijeniti osjetljivo kernelsko stanje. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) (Kaspersky)

Kernel

Dostupno za: macOS Ventura

Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-38603: Zweig (Kunlun Lab)

libxpc

Dostupno za: macOS Ventura

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2023-38565: Zhipeng Huo (@R3dF09) iz sigurnosnog odjela Xuanwu Lab tvrtke Tencent (xlab.tencent.com)

libxpc

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-38593: Noah Roskin-Frazee

Mail

Dostupno za: macOS Ventura

Učinak: S/MIME šifrirana e-pošta može se nehotice poslati nešifrirano

Opis: problem je riješen poboljšanim upravljanjem stanjem S/MIME šifrirane e-pošte.

CVE-2023-40440: Taavi Eomäe (Zone Media OÜ)

Unos je dodan 21. prosinca 2023.

Model I/O

Dostupno za: macOS Ventura

Učinak: obradom 3D modela može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-38258: Mickey Jin (@patch1t)

CVE-2023-38421: Mickey Jin (@patch1t) i Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)

Unos je ažuriran 27. srpnja 2023.

Model I/O

Dostupno za: macOS Ventura

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2023-1916

Unos je dodan 21. prosinca 2023.

Music

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2023-38571: Gergely Kalman (@gergely_kalman)

Unos je dodan 27. srpnja 2023.

ncurses

Dostupno za: macOS Ventura

Učinak: aplikacija može prouzročiti neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2023-29491: Jonathan Bar Or iz tvrtke Microsoft, Emanuele Cozzi iz tvrtke Microsoft i Michael Pearse iz tvrtke Microsoft

Stavka dodana 06. rujna 2023.

Net-SNMP

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2023-38601: Csaba Fitzl (@theevilbit) (Offensive Security)

Unos je dodan 27. srpnja 2023.

NSSpellChecker

Dostupno za: macOS Ventura

Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2023-32444: Mickey Jin (@patch1t)

Unos je dodan 27. srpnja 2023.

OpenLDAP

Dostupno za: macOS Ventura

Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-2953: Sandipan Roy

OpenSSH

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla pristupiti SSH lozinkama

Opis: problem je riješen dodatnim ograničenjima uočljivosti stanja aplikacije.

CVE-2023-42829: James Duffy (mangoSecure)

Unos je dodan 21. prosinca 2023.

PackageKit

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-38609: Michael Cowell

Unos je dodan 27. srpnja 2023.

PackageKit

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2023-38259: Mickey Jin (@patch1t)

PackageKit

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-38564: Mickey Jin (@patch1t)

PackageKit

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2023-38602: Arsenii Kostromin (0x3c3e)

Security

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2023-42831: James Duffy (mangoSecure)

Unos je dodan 21. prosinca 2023.

Shortcuts

Dostupno za: macOS Ventura

Učinak: prečac će možda moći mijenjati osjetljive postavke aplikacije Prečaci

Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.

CVE-2023-32442: anonimni istraživač

sips

Dostupno za: macOS Ventura

Učinak: obradom datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-32443: David Hoyt (Hoyt LLC)

Software Update

Dostupno za: macOS Ventura

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2023-42832: Arsenii Kostromin (0x3c3e)

Unos je dodan 21. prosinca 2023.

SystemMigration

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-32429: Wenchao Li i Xiaolong Bai (Hangzhou Orange Shield Information Technology Co., Ltd.)

tcpdump

Dostupno za: macOS Ventura

Učinak: napadač s mrežnim ovlastima možda može izvršiti proizvoljni kod

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-1801

Unos je dodan 21. prosinca 2023.

Time Zone

Dostupno za: macOS Ventura

Učinak: korisnik bi mogao čitati podatke koji pripadaju drugom korisniku

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32654: Matthew Loewen

Unos je dodan 27. srpnja 2023.

Vim

Dostupno za: macOS Ventura

Učinak: veći broj problema u programu Vim

Opis: veći broj problema riješen je ažuriranjem programa Vim.

CVE-2023-2426

CVE-2023-2609

CVE-2023-2610

Unos je dodan 21. prosinca 2023.

Diktafon

Dostupno za: macOS Ventura

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen dodatnim provjerama dozvola.

CVE-2023-38608: Yiğit Can YILMAZ (@yilmazcanyigit), Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab), Kirin (@Pwnrin), and Yishu Wang

Unos je ažuriran 21. prosinca 2023.

Weather

Dostupno za: macOS Ventura

Učinak: aplikacija može odrediti korisnikovu trenutnu lokaciju

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-38605: Adam M.

Stavka dodana 06. rujna 2023.

WebKit

Dostupno za: macOS Ventura

Učinak: udaljeni napadač mogao bi uzrokovati arbitrarno izvršavanje javascript koda

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 257824
CVE-2023-40397: Johan Carlsson (joaxcar)

Stavka dodana 06. rujna 2023.

WebKit

Dostupno za: macOS Ventura

Učinak: web-mjesto može zaobići pravilo istog podrijetla

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) (Suma Soft Pvt. Ltd, Pune – Indija)

WebKit

Dostupno za: macOS Ventura

Učinak: web-mjesto moglo bi pratiti osjetljive korisničke podatke

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin i Yuval Yarom

Unos je dodan 27. srpnja 2023.

WebKit

Dostupno za: macOS Ventura

Učinak: obradom dokumenta moglo bi doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: taj je problem riješen poboljšanim provjerama.

WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)

Unos je dodan 27. srpnja 2023.

WebKit

Dostupno za: macOS Ventura

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: logički problem riješen je poboljšanim ograničenjima.

WebKit Bugzilla: 257331
CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) (Suma Soft Pvt. Ltd, Pune – Indija, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina i Lorenzo Veronese (TU Wien)

Unos je dodan 27. srpnja 2023.

WebKit

Dostupno za: macOS Ventura

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu

WebKit Bugzilla: 256573
CVE-2023-38595: anonimni istraživač, Jiming Wang, Jikai Ren

WebKit Bugzilla: 257387
CVE-2023-38600: anonimni istraživač i inicijativa Zero Day (Trend Micro)

WebKit

Dostupno za: macOS Ventura

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 258058
CVE-2023-38611: Francisco Alonso (@revskills)

WebKit

Dostupno za: macOS Ventura

Učinak: obradom web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 259231
CVE-2023-37450: anonimni istraživač

Problem je prvi put rješavan u brzom sigurnosnom odgovoru za sustav macOS Ventura 13.4.1 (c).

WebKit

Dostupno za: macOS Ventura

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 257684
CVE-2023-42866: Francisco Alonso (@revskills) i Junsung Lee

Unos je dodan 21. prosinca 2023.

WebKit Process Model

Dostupno za: macOS Ventura

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 258100
CVE-2023-38597: 이준성(Junsung Lee) (Cross Republic)

WebKit Web Inspector

Dostupno za: macOS Ventura

Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

WebKit

Željeli bismo zahvaliti Narendri Bhati (twitter.com/imnarendrabhati) iz tvrtke Suma Soft Pvt. Ltd, – Indija) na pomoći.

Unos je dodan 27. srpnja 2023.

WebKit

Na pomoći zahvaljujemo 이준성(Junsung Lee) iz tvrtke Cross Republic.

Unos je dodan 21. prosinca 2023.

WebRTC

Na pomoći zahvaljujemo anonimnom istraživaču.