Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Sonoma 14.1
Izdano 25. listopada 2023.
App Support
Dostupno za: macOS Sonoma
Učinak: raščlanjivanje datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-30774
AppSandbox
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-40444: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Automation
Dostupno za: macOS Sonoma
Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42952: Zhipeng Huo (@R3dF09) iz tvrtke Tencent Security Xuanwu Lab (xlab.tencent.com)
Unos je dodan 16. veljače 2024.
Bluetooth
Dostupno za: macOS Sonoma
Učinak: aplikacija može steći neovlašten pristup Bluetoothu
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-42945
Unos je dodan 16. veljače 2024.
Contacts
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-41072:Wojciech Regula iz tvrtke SecuRing (wojciechregula.blog) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
CVE-2023-42857: Noah Roskin-Frazee i profesor J. (ZeroClicks.ai Lab)
CoreAnimation
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40449: Tomi Tokics (@tomitokics) iz tvrtke iTomsn0w
Core Recents
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen čišćenjem zapisnika
CVE-2023-42823
Unos je dodan 16. veljače 2024.
Emoji
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao sa zaključanog zaslona izvršiti proizvoljno odabran kod kao korijenski korisnik
Opis: problem je riješen ograničavanjem opcija na zaključanom uređaju.
CVE-2023-41989: Jewel Lambert
FileProvider
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge klijentima sigurnosti krajnjih točaka
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-42854: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Find My
Dostupno za: macOS Sonoma
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-40413: Adam M.
Find My
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s privatnosti riješen je poboljšanim rukovanjem datotekama.
CVE-2023-42834: Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Unos je dodan 16. veljače 2024.
Foundation
Dostupno za: macOS Sonoma
Učinak: web-mjesto moglo bi pristupiti osjetljivim korisničkim podacima prilikom rješavanja simboličkih veza
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2023-42844: Ron Masas iz tvrtke BreakPoint.SH
Game Center
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-42953: Michael (Biscuit) Thomas (@biscuit@social.lol)
Unos je dodan 16. veljače 2024.
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40416: JZ
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42848: JZ
Unos je dodan 16. veljače 2024.
IOTextEncryptionFamily
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40423: anonimni istraživač
iperf3
Dostupno za: macOS Sonoma
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38403
Kernel
Dostupno za: macOS Sonoma
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42849: Linus Henze iz tvrtke Pinauten GmbH (pinauten.de)
LaunchServices
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2023-42850: Thijs Alkemade (@xnyhps) iz tvrtke Computest Sector 7, Brian McNulty, Zhongquan Li
libc
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjernih ulaznih podataka može dovesti do izvršavanja proizvoljnog koda u aplikacijama koje je instalirao korisnik
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40446: inooo
Unos je dodan 3. studenoga 2023.
libxpc
Dostupno za: macOS Sonoma
Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2023-42942: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
Login Window
Dostupno za: macOS Sonoma
Učinak: napadač koji zna vjerodajnice jednog standardnog korisnika može otključati zaključani zaslon drugog standardnog korisnika na istom Mac računalu
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser i CPU IT, inc, Matthew McLean, Steven Maser i tim za IT tvrtke Concentrix
Unos je ažuriran 27. listopada 2023.
LoginWindow
Dostupno za: macOS Sonoma
Učinak: lokalni napadač mogao bi vidjeti radnu površinu prethodno prijavljenog korisnika sa zaslona za brzu zamjenu korisnika
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42935: ASentientBot
Unos je dodan 22. siječnja 2024. i ažuriran 24. travnja 2024.
Mail Drafts
Dostupno za: macOS Sonoma
Učinak: značajka Sakrij moj e-mail može se neočekivano deaktivirati
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-40408: Grzegorz Riegel
Maps
Dostupno za: macOS Sonoma
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-40405: Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
MediaRemote
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-28826: Meng Zhang (鲸落) iz tvrtke NorthSea
Unos dodan 7. ožujka 2024.
Model I/O
Dostupno za: macOS Sonoma
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42856: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)
Networking
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-40404: tim tvrtke Certik Skyfall
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) i Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42840: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42853: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) iz tvrtke FFRI Security, Inc.
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42889: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
Passkeys
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao pristupiti poveznim ključevima bez provjere autentičnosti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42847: anonimni istraživač
Photos
Dostupno za: macOS Sonoma
Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42845: Bistrit Dahal
Unos ažuriran 16. veljače 2024.
Pro Res
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong iz instituta 360 Vulnerability Research Institute
Pro Res
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) te happybabywu i Guang Gong iz instituta 360 Vulnerability Research Institute
Unos je dodan 16. veljače 2024.
quarantine
Dostupno za: macOS Sonoma
Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima
Opis: problem s pristupom riješen je poboljšanjima ograničene memorije.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Unos je dodan 16. veljače 2024.
RemoteViewServices
Dostupno za: macOS Sonoma
Učinak: napadač bi mogao pristupiti zaštićenim korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42835: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
Safari
Dostupno za: macOS Sonoma
Učinak: posjetom zlonamjernom web-mjestu mogla bi se otkriti povijest pregledavanja
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-41977: Alex Renda
Safari
Dostupno za: macOS Sonoma
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42438: Rafay Baloch i Muhammad Samaak te anonimni istraživač
Sandbox
Dostupno za: macOS Sonoma
Utjecaj: napadač bi mogao pristupiti povezanim mrežnim jedinicama postavljenim u matični direktorij
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Unos je dodan 16. veljače 2024.
Sandbox
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Unos je dodan 16. veljače 2024.
Share Sheet
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula iz tvrtke SecuRing (wojciechregula.blog) i Cristian Dinca iz državne srednje škole za računalnu znanost „Tudor Vianu”, Rumunjska
Unos je dodan 16. veljače 2024.
Siri
Dostupno za: macOS Sonoma
Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima
Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Unos ažuriran 16. veljače 2024.
Siri
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-42946
Unos je dodan 16. veljače 2024.
SQLite
Dostupno za: macOS Sonoma
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-36191
Unos je dodan 16. veljače 2024.
talagent
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-40421: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Terminal
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42842: anonimni istraživač
Vim
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjernog unosa mogla bi dovesti do izvršavanja koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-4733
CVE-2023-4734
CVE-2023-4735
CVE-2023-4736
CVE-2023-4738
CVE-2023-4750
CVE-2023-4751
CVE-2023-4752
CVE-2023-4781
Weather
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-41254: Cristian Dinca (Nacionalna srednja škola Tudor Vianu za računalnu znanost, Rumunjska)
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) iz tvrtke Cross Republic
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: logički problem riješen je poboljšanim provjerama.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) i Vitor Pedreira (@0xvhp_) iz tvrtke Agile Information Security
Unos ažuriran 16. veljače 2024.
WebKit
Dostupno za: macOS Sonoma
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Unos je dodan 16. veljače 2024.
WebKit Process Model
Dostupno za: macOS Sonoma
Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
WindowServer
Dostupno za: macOS Sonoma
Učinak: web-mjesto može pristupiti mikrofonu bez da se prikaže indikator korištenja mikrofona
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-41975: anonimni istraživač
WindowServer
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42858: anonimni istraživač
Unos je dodan 16. veljače 2024.
Dodatna zahvala
libarchive
Zahvaljujemo na pomoći Bahaau Naamnehu.
libxml2
Željeli bismo zahvaliti timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google na pomoći.
Login Window
Na pomoći zahvaljujemo anonimnom istraživaču.
man
Zahvaljujemo na pomoći Kirinu (@Pwnrin) i Romanu Mishchenku.
Unos ažuriran 16. veljače 2024.
Power Manager
Na pomoći zahvaljujemo korisniku Xia0o0o0o (@Nyaaaaa_ovo) (University of California, San Diego).
Preview
Na pomoći zahvaljujemo Akshayu Nagpalu.
Unos je dodan 16. veljače 2024.
Reminders
Na pomoći zahvaljujemo Noahu Roskin-Frazeeu i korisniku Prof. J. (ZeroClicks.ai Lab).
Setup Assistant
Zahvaljujemo Digvijayju Sai Gujjarlapudiju i Kyleu Andrewsu na pomoći.
Unos je dodan 24. travnja 2024.
System Extensions
Zahvaljujemo Jaronu Bradleyju, Ferdousu Saljookiju i Austinu Prueheru (Jamf Software) na pomoći.
Unos je dodan 24. travnja 2024.
WebKit
Na pomoći zahvaljujemo anonimnom istraživaču.