Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Ventura 13.6
Izdano 21. rujna 2023.
Apple Neural Engine
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) (Baidu Security)
Stavka je dodana 26. rujna 2023.
Apple Neural Engine
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Stavka je dodana 26. rujna 2023.
Apple Neural Engine
Dostupno za: macOS Ventura
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-40410: Tim Michaud (@TimGMichaud) (Moveworks.ai)
Stavka je dodana 26. rujna 2023.
Ask to Buy
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38612: Chris Ross (Zoom)
Unos je dodan 22. prosinca 2023.
Biometric Authentication
Dostupno za: macOS Ventura
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2023-41232: Liang Wei (PixiePoint Security)
Stavka je dodana 26. rujna 2023.
ColorSync
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-40406: JeongOhKyea (Theori)
Stavka je dodana 26. rujna 2023.
CoreAnimation
Dostupno za: macOS Ventura
Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40420: 이준성(Junsung Lee) (Cross Republic)
Stavka je dodana 26. rujna 2023.
Kernel
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.)
Stavka je dodana 26. rujna 2023.
Kernel
Dostupno za: macOS Ventura
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-41981: Linus Henze (Pinauten GmbH) (pinauten.de)
Stavka je dodana 26. rujna 2023.
Kernel
Dostupno za: macOS Ventura
Učinak: lokalni napadač mogao bi povećati svoje ovlasti. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 16.7.
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-41992: Bill Marczak (The Citizen Lab) iz Munk škole Sveučilišta u Torontu i Maddie Stone (Skupina za analizu prijetnji tvrtke Google)
libxpc
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2023-41073: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
Stavka je dodana 26. rujna 2023.
libxpc
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla izbrisati datoteke za koje nema dozvolu
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-40454: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
Stavka je dodana 26. rujna 2023.
libxslt
Dostupno za: macOS Ventura
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) (PK Security)
Stavka je dodana 26. rujna 2023.
Maps
Dostupno za: macOS Ventura
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-40427: Adam M. i Wojciech Regula (SecuRing) (wojciechregula.blog)
Stavka je dodana 26. rujna 2023.
Pro Res
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-41063: tim tvrtke Certik Skyfall
Stavka je dodana 26. rujna 2023.
Sandbox
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Stavka je dodana 26. rujna 2023.
Sandbox
Dostupno za: macOS Ventura
Učinak: i dalje se mogu pokretati aplikacije koje nisu prošle provjeru
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-41996: Yiğit Can YILMAZ (@yilmazcanyigit) i Mickey Jin (@patch1t)
Stavka je dodana 26. rujna 2023.
Security
Dostupno za: macOS Ventura
Učinak: zlonamjerne aplikacije mogle bi zaobići provjeru valjanosti potpisa. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 16.7.
Opis: riješen je problem provjere valjanosti certifikata.
CVE-2023-41991: Bill Marczak (The Citizen Lab) iz Munk škole Sveučilišta u Torontu i Maddie Stone (Skupina za analizu prijetnji tvrtke Google)
Share Sheet
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivim podacima zabilježenima kada korisnik podijeli vezu
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-41070: Kirin (@Pwnrin)
Stavka je dodana 26. rujna 2023.
StorageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.
CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins
Stavka je dodana 26. rujna 2023.
Dodatna zahvala
Apple Neural Engine
Na pomoći zahvaljujemo korisniku pattern-f (@pattern_F_) (Ant Security Light-Year Lab).
Unos je dodan 22. prosinca 2023.
AppSandbox
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Stavka je dodana 26. rujna 2023.
Kernel
Željeli bismo se zahvaliti Billu Marczaku iz laboratorija The Citizen Lab iz Munk škole Sveučilišta u Torontu i Maddie Stone iz Skupine za analizu prijetnji tvrtke Google na pomoći.
libxml2
Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.
Stavka je dodana 26. rujna 2023.
WebKit
Željeli bismo se zahvaliti Khiemu Tranu i Narendri Bhatiju iz tvrtke Suma Soft Pvt. Ltd, Pune (India) na pomoći.
Stavka je dodana 26. rujna 2023.
WebRTC
Na pomoći zahvaljujemo anonimnom istraživaču.
Stavka je dodana 26. rujna 2023.