Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Sonoma 14.2
Objavljeno 11. prosinca 2023.
Accessibility
Dostupno za: macOS Sonoma
Učinak: sigurna tekstna polja mogu se prikazati putem tipkovnice sa značajkama pristupačnosti pri upotrebi fizičke tipkovnice
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-42874: Don Clarke
Accessibility
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-42937: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Unos je dodan 22. siječnja 2024.
Accounts
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-42894: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
AppleGraphicsControl
Dostupno za: macOS Sonoma
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-42901: Ivan Fratric (Google Project Zero)
CVE-2023-42902: Ivan Fratric (Google Project Zero) i Michael DePlante (@izobashi) iz inicijative Trend Micro Zero Day Initiative
CVE-2023-42912: Ivan Fratric (Google Project Zero)
CVE-2023-42903: Ivan Fratric (Google Project Zero)
CVE-2023-42904: Ivan Fratric (Google Project Zero)
CVE-2023-42905: Ivan Fratric (Google Project Zero)
CVE-2023-42906: Ivan Fratric (Google Project Zero)
CVE-2023-42907: Ivan Fratric (Google Project Zero)
CVE-2023-42908: Ivan Fratric (Google Project Zero)
CVE-2023-42909: Ivan Fratric (Google Project Zero)
CVE-2023-42910: Ivan Fratric (Google Project Zero)
CVE-2023-42911: Ivan Fratric (Google Project Zero)
CVE-2023-42926: Ivan Fratric (Google Project Zero)
AppleVA
Dostupno za: macOS Sonoma
Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42882: Ivan Fratric (Google Project Zero)
AppleVA
Dostupno za: macOS Sonoma
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42881: Ivan Fratric (Google Project Zero)
Unos je dodan 12. prosinca 2023.
Archive Utility
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen poboljšanim rukovanjem privremenim datotekama.
CVE-2023-42896: Mickey Jin (@patch1t)
Unos je dodan 22. ožujka 2024.
AVEVideoEncoder
Dostupno za: macOS Sonoma
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-42884: anonimni istraživač
Bluetooth
Dostupno za: macOS Sonoma
Učinak: napadač s mrežnim ovlastima mogao bi imitirati pritiskanje tipki i unositi znakove lažiranjem tipkovnice
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-45866: Marc Newlin (SkySafe)
CoreMedia Playback
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42900: Mickey Jin (@patch1t)
CoreServices
Dostupno za: macOS Sonoma
Učinak: korisnik bi mogao uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
curl
Dostupno za: macOS Sonoma
Učinak: veći broj problema u medijateci curl
Opis: veći broj problema riješen je ažuriranjem na curl verzije 8.4.0.
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
Unos je dodan 22. siječnja 2024., ažuriran 13. veljače 2024.
DiskArbitration
Dostupno za: macOS Sonoma
Učinak: proces može primiti administratorske ovlasti bez ispravne autorizacije
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42931: Yann GASCUEL iz tvrtke Alter Solutions
Unos je dodan 22. ožujka 2024.
FileURL
Dostupno za: macOS Sonoma
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-42892: Anthony Cruz @App Tyrant Corp
Unos je dodan 22. ožujka 2024.
Find My
Dostupno za: macOS Sonoma
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-42922: Wojciech Regula (SecuRing) (wojciechregula.blog)
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42898: Zhenjiang Zhao iz tvrtke Pangu Team, Qianxin i Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM i Junsung Lee
Unos je ažuriran 22. ožujka 2024.
ImageIO
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42888: Michael DePlante (@izobashi) iz inicijative Zero Day Initiative (Trend Micro)
Unos je dodan 22. siječnja 2024.
IOKit
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pratiti unose putem tipkovnice bez dopuštenja korisnika
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42891: anonimni istraživač
IOUSBDeviceFamily
Dostupno za: macOS Sonoma
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.)
Unos je dodan 22. ožujka 2024.
Kernel
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) (Synacktiv) (@Synacktiv)
Libsystem
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem s dopuštenjima riješen je uklanjanjem koda sa slabim točkama i dodavanjem dodatnih provjera.
CVE-2023-42893
Unos je dodan 22. ožujka 2024.
Model I/O
Dostupno za: macOS Sonoma
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-3618
Unos je dodan 22. ožujka 2024.
ncurses
Dostupno za: macOS Sonoma
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
NSOpenPanel
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.
CVE-2023-42887: Ron Masas (BreakPoint.sh)
Unos je dodan 22. siječnja 2024.
Sandbox
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-42936
Unos je dodan 22. ožujka 2024.
Share Sheet
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem privatnosti riješen je premještanjem osjetljivih podataka na zaštićenu lokaciju.
CVE-2023-40390: Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security i Mickey Jin (@patch1t)
Unos je dodan 22. ožujka 2024.
SharedFileList
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42842: anonimni istraživač
Shell
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Unos je dodan 22. ožujka 2024.
System Settings
Dostupno za: macOS Sonoma
Učinak: sesije udaljene prijave mogu dobiti dopuštenja za pristup cijelom disku
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-42913: Mattie Behrens i Joshua Jewett (@JoshJewett33)
Unos je dodan 22. ožujka 2024.
TCC
Dostupno za: macOS Sonoma
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Dostupno za: macOS Sonoma
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2023-42947: Zhongquan Li (@Guluisacat) iz laboratorija Dawn Security Lab tvrtke JingDong
Unos je dodan 22. ožujka 2024.
Vim
Dostupno za: macOS Sonoma
Učinak: otvaranjem zlonamjerno stvorene datoteke aplikacija se može neočekivano zatvoriti ili se može izvršiti proizvoljni kod
Opis: problem je riješen ažuriranjem programa Vim na verziju 9.0.1969.
CVE-2023-5344
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Dostupno za: macOS Sonoma
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) iz tvrtke 360 Vulnerability Research Institute i Rushikesh Nandedkar
Unos je dodan 22. ožujka 2024.
WebKit
Dostupno za: macOS Sonoma
Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Unos je dodan 22. ožujka 2024.
Dodatna zahvala
Memoji
Zahvaljujemo na pomoći Jerryju Tenenbaumu.
WebSheet
Zahvaljujemo na pomoću Paolu Ruggeru iz tvrtke e-phors S.p.A. (A FINCANTIERI S.p.A. Company).
Unos je dodan 22. ožujka 2024.
Wi-Fi
Na pomoći zahvaljujemo Noahu Roskin-Frazeeu i korisniku Prof. J. (ZeroClicks.ai Lab).