O sigurnosnom sadržaju sustava macOS Sonoma 14.1

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

Izdano 25. listopada 2023.

App Support

Dostupno za: macOS Sonoma

Učinak: raščlanjivanje datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2023-30774

AppSandbox

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2023-40444: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)

Automation

Dostupno za: macOS Sonoma

Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-42952: Zhipeng Huo (@R3dF09) iz tvrtke Tencent Security Xuanwu Lab (xlab.tencent.com)

Unos je dodan 16. veljače 2024.

Bluetooth

Dostupno za: macOS Sonoma

Učinak: aplikacija može steći neovlašten pristup Bluetoothu

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2023-42945

Unos je dodan 16. veljače 2024.

Contacts

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-41072:Wojciech Regula iz tvrtke SecuRing (wojciechregula.blog) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security

CVE-2023-42857: Noah Roskin-Frazee i profesor J. (ZeroClicks.ai Lab)

CoreAnimation

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40449: Tomi Tokics (@tomitokics) iz tvrtke iTomsn0w

Core Recents

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen čišćenjem zapisnika

CVE-2023-42823

Unos je dodan 16. veljače 2024.

Emoji

Dostupno za: macOS Sonoma

Učinak: napadač bi mogao sa zaključanog zaslona izvršiti proizvoljno odabran kod kao korijenski korisnik

Opis: problem je riješen ograničavanjem opcija na zaključanom uređaju.

CVE-2023-41989: Jewel Lambert

FileProvider

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge klijentima sigurnosti krajnjih točaka

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2023-42854: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)

Find My

Dostupno za: macOS Sonoma

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-40413: Adam M.

Find My

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s privatnosti riješen je poboljšanim rukovanjem datotekama.

CVE-2023-42834: Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security

Unos je dodan 16. veljače 2024.

Foundation

Dostupno za: macOS Sonoma

Učinak: web-mjesto moglo bi pristupiti osjetljivim korisničkim podacima prilikom rješavanja simboličkih veza

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2023-42844: Ron Masas iz tvrtke BreakPoint.SH

Game Center

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2023-42953: Michael (Biscuit) Thomas (@biscuit@social.lol)

Unos je dodan 16. veljače 2024.

ImageIO

Dostupno za: macOS Sonoma

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40416: JZ

ImageIO

Dostupno za: macOS Sonoma

Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-42848: JZ

Unos je dodan 16. veljače 2024.

IOTextEncryptionFamily

Dostupno za: macOS Sonoma

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40423: anonimni istraživač

iperf3

Dostupno za: macOS Sonoma

Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-38403

Kernel

Dostupno za: macOS Sonoma

Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-42849: Linus Henze iz tvrtke Pinauten GmbH (pinauten.de)

LaunchServices

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanom logikom za dozvole.

CVE-2023-42850: Thijs Alkemade (@xnyhps) iz tvrtke Computest Sector 7, Brian McNulty, Zhongquan Li

libc

Dostupno za: macOS Sonoma

Učinak: obrada zlonamjernih ulaznih podataka može dovesti do izvršavanja proizvoljnog koda u aplikacijama koje je instalirao korisnik

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40446: inooo

Unos je dodan 3. studenoga 2023.

libxpc

Dostupno za: macOS Sonoma

Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2023-42942: Mickey Jin (@patch1t)

Unos je dodan 16. veljače 2024.

Login Window

Dostupno za: macOS Sonoma

Učinak: napadač koji zna vjerodajnice jednog standardnog korisnika može otključati zaključani zaslon drugog standardnog korisnika na istom Mac računalu

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser i CPU IT, inc, Matthew McLean, Steven Maser i tim za IT tvrtke Concentrix

Unos je ažuriran 27. listopada 2023.

LoginWindow

Dostupno za: macOS Sonoma

Učinak: lokalni napadač mogao bi vidjeti radnu površinu prethodno prijavljenog korisnika sa zaslona za brzu zamjenu korisnika

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2023-42935: ASentientBot

Unos je dodan 22. siječnja 2024. i ažuriran 24. travnja 2024.

Mail Drafts

Dostupno za: macOS Sonoma

Učinak: značajka Sakrij moj e-mail može se neočekivano deaktivirati

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-40408: Grzegorz Riegel

Maps

Dostupno za: macOS Sonoma

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-40405: Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security

MediaRemote

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-28826: Meng Zhang (鲸落) iz tvrtke NorthSea

Unos dodan 7. ožujka 2024.

Model I/O

Dostupno za: macOS Sonoma

Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-42856: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

Networking

Dostupno za: macOS Sonoma

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-40404: tim tvrtke Certik Skyfall

PackageKit

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) i Hevel Engineering

CVE-2023-42877: Arsenii Kostromin (0x3c3e)

Unos je dodan 16. veljače 2024.

PackageKit

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-42840: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security

Unos je dodan 16. veljače 2024.

PackageKit

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-42853: Mickey Jin (@patch1t)

Unos je dodan 16. veljače 2024.

PackageKit

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) iz tvrtke FFRI Security, Inc.

Unos je dodan 16. veljače 2024.

PackageKit

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-42889: Mickey Jin (@patch1t)

Unos je dodan 16. veljače 2024.

Passkeys

Dostupno za: macOS Sonoma

Učinak: napadač bi mogao pristupiti poveznim ključevima bez provjere autentičnosti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-42847: anonimni istraživač

Photos

Dostupno za: macOS Sonoma

Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2023-42845: Bistrit Dahal

Unos ažuriran 16. veljače 2024.

Pro Res

Dostupno za: macOS Sonoma

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong iz instituta 360 Vulnerability Research Institute

Pro Res

Dostupno za: macOS Sonoma

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-42873: Mingxuan Yang (@PPPF00L) te happybabywu i Guang Gong iz instituta 360 Vulnerability Research Institute

Unos je dodan 16. veljače 2024.

quarantine

Dostupno za: macOS Sonoma

Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima

Opis: problem s pristupom riješen je poboljšanjima ograničene memorije.

CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security

Unos je dodan 16. veljače 2024.

RemoteViewServices

Dostupno za: macOS Sonoma

Učinak: napadač bi mogao pristupiti zaštićenim korisničkim podacima

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-42835: Mickey Jin (@patch1t)

Unos je dodan 16. veljače 2024.

Safari

Dostupno za: macOS Sonoma

Učinak: posjetom zlonamjernom web-mjestu mogla bi se otkriti povijest pregledavanja

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-41977: Alex Renda

Safari

Dostupno za: macOS Sonoma

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-42438: Rafay Baloch i Muhammad Samaak te anonimni istraživač

Sandbox

Dostupno za: macOS Sonoma

Utjecaj: napadač bi mogao pristupiti povezanim mrežnim jedinicama postavljenim u matični direktorij

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

Unos je dodan 16. veljače 2024.

Sandbox

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Unos je dodan 16. veljače 2024.

Share Sheet

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula iz tvrtke SecuRing (wojciechregula.blog) i Cristian Dinca iz državne srednje škole za računalnu znanost „Tudor Vianu”, Rumunjska

Unos je dodan 16. veljače 2024.

Siri

Dostupno za: macOS Sonoma

Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: Bistrit Dahal

Unos ažuriran 16. veljače 2024.

Siri

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-42946

Unos je dodan 16. veljače 2024.

SQLite

Dostupno za: macOS Sonoma

Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2023-36191

Unos je dodan 16. veljače 2024.

talagent

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2023-40421: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)

Terminal

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-42842: anonimni istraživač

Vim

Dostupno za: macOS Sonoma

Učinak: obrada zlonamjernog unosa mogla bi dovesti do izvršavanja koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-4733

CVE-2023-4734

CVE-2023-4735

CVE-2023-4736

CVE-2023-4738

CVE-2023-4750

CVE-2023-4751

CVE-2023-4752

CVE-2023-4781

Weather

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-41254: Cristian Dinca (Nacionalna srednja škola Tudor Vianu za računalnu znanost, Rumunjska)

WebKit

Dostupno za: macOS Sonoma

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) iz tvrtke Cross Republic

WebKit

Dostupno za: macOS Sonoma

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Dostupno za: macOS Sonoma

Učinak: obradom web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: logički problem riješen je poboljšanim provjerama.

WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) i Vitor Pedreira (@0xvhp_) iz tvrtke Agile Information Security

Unos ažuriran 16. veljače 2024.

WebKit

Dostupno za: macOS Sonoma

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)

Unos je dodan 16. veljače 2024.

WebKit Process Model

Dostupno za: macOS Sonoma

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)

WindowServer

Dostupno za: macOS Sonoma

Učinak: web-mjesto može pristupiti mikrofonu bez da se prikaže indikator korištenja mikrofona

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2023-41975: anonimni istraživač

WindowServer

Dostupno za: macOS Sonoma

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-42858: anonimni istraživač

Unos je dodan 16. veljače 2024.

libarchive

Zahvaljujemo na pomoći Bahaau Naamnehu.

libxml2

Željeli bismo zahvaliti timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google na pomoći.

Login Window

Na pomoći zahvaljujemo anonimnom istraživaču.

man

Zahvaljujemo na pomoći Kirinu (@Pwnrin) i Romanu Mishchenku.

Unos ažuriran 16. veljače 2024.

Power Manager

Na pomoći zahvaljujemo korisniku Xia0o0o0o (@Nyaaaaa_ovo) (University of California, San Diego).

Preview

Na pomoći zahvaljujemo Akshayu Nagpalu.

Unos je dodan 16. veljače 2024.

Reminders

Na pomoći zahvaljujemo Noahu Roskin-Frazeeu i korisniku Prof. J. (ZeroClicks.ai Lab).

Setup Assistant

Zahvaljujemo Digvijayju Sai Gujjarlapudiju i Kyleu Andrewsu na pomoći.

Unos je dodan 24. travnja 2024.

System Extensions

Zahvaljujemo Jaronu Bradleyju, Ferdousu Saljookiju i Austinu Prueheru (Jamf Software) na pomoći.

Unos je dodan 24. travnja 2024.

WebKit

Na pomoći zahvaljujemo anonimnom istraživaču.