Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Ventura 13.6.1
Izdano 25. listopada 2023.
CoreAnimation
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40449: Tomi Tokics (@tomitokics) (iTomsn0w)
Core Recents
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen čišćenjem zapisnika
CVE-2023-42823
Unos je dodan 16. veljače 2024.
FileProvider
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge klijentima sigurnosti krajnjih točaka
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-42854: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Find My
Dostupno za: macOS Ventura
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-40413: Adam M.
Foundation
Dostupno za: macOS Ventura
Učinak: web-mjesto bi moglo pristupiti osjetljivim korisničkim podacima prilikom rješavanja simboličkih veza
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2023-42844: Ron Masas (BreakPoint.SH)
Image Capture
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
Dostupno za: macOS Ventura
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40416: JZ
ImageIO
Dostupno za: macOS Ventura
Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42848: JZ
Unos je dodan 16. veljače 2024.
IOTextEncryptionFamily
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40423: anonimni istraživač
iperf3
Dostupno za: macOS Ventura
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38403
Kernel
Dostupno za: macOS Ventura
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42849: Linus Henze (Pinauten GmbH) (pinauten.de)
libc
Dostupno za: macOS Ventura
Učinak: obrada zlonamjernih ulaznih podataka može dovesti do izvršavanja proizvoljnog koda u aplikacijama koje je instalirao korisnik
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40446: inooo
Unos je dodan 3. studenoga 2023.
libxpc
Dostupno za: macOS Ventura
Učinak: zlonamjerne aplikacije bi mogle dobiti korjenske ovlasti
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2023-42942: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
Model I/O
Dostupno za: macOS Ventura
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42856: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) i Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42840: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42889: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42853: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) iz tvrtke FFRI Security, Inc.
Unos je dodan 16. veljače 2024.
Passkeys
Dostupno za: macOS Ventura
Učinak: napadač bi mogao pristupiti poveznim ključevima bez provjere autentičnosti
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2023-40401: anonimni istraživač i weize she
Pro Res
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong (360 Vulnerability Research Institute)
Pro Res
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) te happybabywu i Guang Gong iz instituta 360 Vulnerability Research Institute
Unos je dodan 16. veljače 2024.
SQLite
Dostupno za: macOS Ventura
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-36191
Unos je dodan 16. veljače 2024.
talagent
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-40421: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Weather
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-41254: Cristian Dinca (Nacionalna srednja škola Tudor Vianu za računalnu znanost, Rumunjska)
WindowServer
Dostupno za: macOS Ventura
Učinak: web-mjesto može pristupiti mikrofonu bez da se prikaže indikator korištenja mikrofona
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-41975: anonimni istraživač
WindowServer
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42858: anonimni istraživač
Unos je dodan 16. veljače 2024.
Dodatna zahvala
GPU Drivers
Na pomoći zahvaljujemo anonimnom istraživaču.
libarchive
Zahvaljujemo na pomoći Bahaau Naamnehu.
libxml2
Na pomoći zahvaljujemo timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google.