A macOS Ventura 13.3 biztonsági változásjegyzéke
Ez a dokumentum a macOS Ventura 13.3 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Ventura 13.3
Kiadás dátuma: 2023. március 27.
AMD
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-32436: ABC Research s.r.o.
Bejegyzés hozzáadva 2023. október 31.
AMD
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2023-27968: ABC Research s.r.o.
CVE-2023-28209: ABC Research s.r.o.
CVE-2023-28210: ABC Research s.r.o.
CVE-2023-28211: ABC Research s.r.o.
CVE-2023-28212: ABC Research s.r.o.
CVE-2023-28213: ABC Research s.r.o.
CVE-2023-28214: ABC Research s.r.o.
CVE-2023-28215: ABC Research s.r.o.
CVE-2023-32356: ABC Research s.r.o.
Bejegyzés hozzáadva 2023. szeptember 5-én.
Apple Neural Engine
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: A felhasználók hozzáférést szerezhettek a fájlrendszer védett részeihez
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-23527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2023-27931: Mickey Jin (@patch1t)
AppleScript
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott AppleScript bináris fájlok feldolgozása váratlan alkalmazásleálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-28179: Mickey Jin (@patch1t)
Bejegyzés hozzáadva: 2023. augusztus 1.
App Store
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-42830: Adam M.
Bejegyzés hozzáadva 2023. december 21-én, frissítve 2024. július 16-án
Archive Utility
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes archívumok bizonyos körülmények között meg tudták kerülni a Gatekeepert.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-27951: Brandon Dalton (@partyD0lphin, Red Canary), Chan Shue Long és Fitzl Csaba (@theevilbit, Offensive Security)
Bejegyzés frissítve: 2023. szeptember 5.
Calendar
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott naptármeghívók importálása felhasználói adatok kiszivárgásához vezethetett.
Leírás: Hatékonyabb beviteltisztítással elhárítottunk több érvényesítési hibát.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Bejegyzés frissítve: 2023. szeptember 5.
Camera
A következőhöz érhető el: macOS Ventura.
Érintett terület: A sandboxban lévő appok meg tudták határozni, hogy éppen melyik app használja a kamerát.
Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
Carbon Core
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-27955: JeongOhKyea
CommCenter
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2023-27936: Tingting Yin (Tsinghua University)
CoreServices
A következőhöz érhető el: macOS Ventura.
Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2023-40398: Mickey Jin (@patch1t)
Bejegyzés hozzáadva 2024. július 16-én.
CoreCapture
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-28181: Tingting Yin (Tsinghua University)
Crash Reporter
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2023-32426: Junoh Lee (Theori)
Bejegyzés hozzáadva 2023. szeptember 5-én.
curl
A következőhöz érhető el: macOS Ventura.
Érintett terület: Több hiba is fennállt a curl esetén.
Leírás: A curl frissítésével megoldottunk különböző problémákat.
CVE-2022-43551
CVE-2022-43552
dcerpc
A következőhöz érhető el: macOS Ventura.
Érintett terület: A távoli támadók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Elhárítottunk egy memóriainicializálási problémát.
CVE-2023-27934: Aleksandar Nikolic (Cisco Talos)
Bejegyzés frissítve: 2023. június 8.
dcerpc
A következőhöz érhető el: macOS Ventura.
Érintett terület: A magas hálózati jogosultságú felhasználók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2023-28180: Aleksandar Nikolic (Cisco Talos)
dcerpc
A következőhöz érhető el: macOS Ventura.
Érintett terület: A távoli felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)
dcerpc
A következőhöz érhető el: macOS Ventura.
Érintett terület: A távoli felhasználók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)
CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)
DesktopServices
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2023-40433: Mikko Kenttälä (@Turmio_, SensorFu)
Bejegyzés hozzáadva: 2023. december 21.
FaceTime
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Elhárítottunk egy adatvédelemmel kapcsolatos problémát azáltal, hogy biztonságosabb helyre helyeztük át a bizalmas adatokat.
CVE-2023-28190: Joshua Jones
Find My
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-23537: Adam M.
CVE-2023-28195: Adam M.
Bejegyzés hozzáadva 2023. szeptember 5., frissítve 2023. december 21.
FontParser
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-27956: Ye Zhang (@VAR10CK; Baidu Security)
Bejegyzés frissítve 2023. október 31.
FontParser
A következőhöz érhető el: macOS Ventura.
Érintett terület: A betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2023-32366: Ye Zhang (@VAR10CK; Baidu Security)
Bejegyzés hozzáadva 2023. október 31.
Foundation
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott plist elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.
CVE-2023-27937: anonim kutató
iCloud
A következőhöz érhető el: macOS Ventura.
Érintett terület: A felhasználóval megosztott iCloud-mappából származó fájlok bizonyos esetekben meg tudták kerülni a Gatekeepert.
Leírás: A Gatekeeperben további ellenőrzéseket vezettünk be a felhasználóval megosztott iCloud-mappákból származó fájlok letöltéséhez, ami megoldotta a problémát.
CVE-2023-23526: Jubaer Alnazi (TRS Group of Companies)
Identity Services
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-27928: Fitzl Csaba (@theevilbit; Offensive Security)
ImageIO
A következőhöz érhető el: macOS Ventura.
Érintett terület: A képek feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-27939: jzhu, a Trend Micro Zero Day Initiative közreműködőjeként
CVE-2023-27947: Meysam Firouzi @R00tkitSMM (Mbition Mercedes-Benz Innovation Lab)
CVE-2023-27948: Meysam Firouzi (@R00tkitSMM) (Mbition Mercedes-Benz Innovation Lab)
CVE-2023-42862: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab)
CVE-2023-42865: jzhu a Trend Micro Zero Day Initiative keretében és Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab)
Bejegyzés hozzáadva 2023. augusztus 1., frissítve 2023. december 21.
ImageIO
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-23535: ryuzaki
ImageIO
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) és jzhu, a Trend Micro Zero Day kezdeményezés keretében
ImageIO
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2023-27957: Yiğit Can YILMAZ (@yilmazcanyigit)
IOAcceleratorFamily
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy „Use-after-free” (felszabadítás utáni használattal kapcsolatos) problémát.
CVE-2023-32378: Murray Mike
Bejegyzés hozzáadva 2023. október 31.
Kernel
A következőhöz érhető el: macOS Ventura.
Érintett terület: A felhasználók bizonyos esetekben szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2023-28187: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Bejegyzés hozzáadva 2023. szeptember 5-én.
Kernel
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Egy határértéken kívüli olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Bejegyzés hozzáadva: 2023. augusztus 1., frissítve 2023. október 31.
Kernel
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-23536: Félix Poulin-Bélanger és David Pan Ogea
Bejegyzés hozzáadva: 2023. május 1., frissítve: 2023. október 31.
Kernel
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2023-23514: Xinru Chi (Pangu Lab) és Ned Williamson (Google Project Zero)
CVE-2023-27969: Adam Doupé (ASU SEFCOM)
Kernel
A következőhöz érhető el: macOS Ventura.
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-27933: sqrtpwn
Kernel
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
LaunchServices
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az internetről letöltött fájloknál bizonyos esetekben a rendszer nem alkalmazta a karanténjelölőt.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2023-27943: egy anonim kutató, Brandon Dalton (@partyD0lphin, Red Canary), Milan Tenk és Arthur Valiev (F-Secure Corporation)
Bejegyzés frissítve 2023. október 31.
LaunchServices
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2023-23525: Mickey Jin (@patch1t)
libc
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2023-40383: Mickey Jin (@patch1t)
Bejegyzés hozzáadva 2023. október 31.
libpthread
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.
CVE-2023-41075: Zweig (Kunlun Lab)
Bejegyzés hozzáadva: 2023. december 21.
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások bizalmas információkhoz fértek hozzá.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-28189: Mickey Jin (@patch1t)
Bejegyzés hozzáadva 2023. május 1-én.
Messages
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.
CVE-2023-28197: Joshua Jones
Bejegyzés hozzáadva 2023. október 31.
Model I/O
A következőhöz érhető el: macOS Ventura.
Érintett terület: A képek feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-27950: Mickey Jin (@patch1t)
Bejegyzés hozzáadva 2023. szeptember 5-én.
Model I/O
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
A következőhöz érhető el: macOS Ventura.
Érintett terület: A hálózaton kiemelt jogosultsággal rendelkező felhasználók bizonyos esetekben meg tudták hamisítani az identitását egy olyan VPN-szervernek, amelyet EAP-only hitelesítéssel konfiguráltak a készüléken.
Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát.
CVE-2023-28182: Zhuowei Zhang
PackageKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2023-23538: Mickey Jin (@patch1t)
CVE-2023-27962: Mickey Jin (@patch1t)
Photos
A következőhöz érhető el: macOS Ventura.
Érintett terület: A Rejtett fotók albumba tartozó fájlokat a Vizuális definiálás funkcióval hitelesítés nélkül is meg lehetett tekinteni.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2023-23523: developStorm
Podcastok
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-27942: Mickey Jin (@patch1t)
Quick Look
A következőhöz érhető el: macOS Ventura.
Érintett terület: A webhelyek nyomon tudtak követni bizalmas jellegű felhasználói információkat.
Leírás: Módosítottuk a hibakezelést, amely így már nem fed fel érzékeny információkat.
CVE-2023-32362: Khiem Tran
Bejegyzés hozzáadva 2023. szeptember 5-én.
Safari
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket
Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.
CVE-2023-27952: Fitzl Csaba (@theevilbit; Offensive Security)
Sandbox
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa (FFRI Security, Inc.) és Fitzl Csaba (@theevilbit, Offensive Security)
Sandbox
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
SharedFileList
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-27966: Masahiro Kawada (@kawakatz), GMO Cybersecurity by Ierae
Bejegyzés hozzáadva: 2023. május 1., frissítve: 2023. augusztus 1.
Shortcuts
A következőhöz érhető el: macOS Ventura.
Érintett terület: Bizonyos esetekben a parancsok bizonyos műveletek során bizalmas adatokat tudtak felhasználni anélkül, hogy erről megkérdezték volna a felhasználót.
Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.
CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies), valamint Wenchao Li és Xiaolong Bai (Alibaba Group)
System Settings
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-23542: Adam M.
Bejegyzés frissítve: 2023. szeptember 5.
System Settings
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: Hatékonyabb érvényesség-ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2023-28192: Guilherme Rambo (Best Buddy Apps, rambo.codes)
TCC
A következőhöz érhető el: macOS Ventura.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2023-27931: Mickey Jin (@patch1t)
TextKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Távoli támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2023-28188: Xin Huang (@11iaxH)
Bejegyzés hozzáadva 2023. szeptember 5-én.
Vim
A következőhöz érhető el: macOS Ventura.
Érintett terület: A Vimmel kapcsolatos többféle probléma.
Leírás: Több hibát elhárítottunk a Vim 9.0.1191-es verziójára való frissítéssel.
CVE-2023-0049
CVE-2023-0051
CVE-2023-0054
CVE-2023-0288
CVE-2023-0433
CVE-2023-0512
WebKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordult, hogy a helyettesítő karaktereket tartalmazó tartományok blokkolására szolgáló tartalombiztonsági szabályzat nem működött megfelelően.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken (imec-DistriNet), KU Leuven
Bejegyzés hozzáadva 2023. szeptember 5-én.
WebKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel, a Trend Micro Zero Day Initiative közreműködőjeként
Bejegyzés hozzáadva: 2023. augusztus 1.
WebKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor. Az Apple tisztában van vele, hogy a problémát aktívan kihasználták az iOS 15.7 előtt kiadott iOS-verziókban.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) és Valentin Pashkov (Kaspersky)
Bejegyzés hozzáadva: 2023. június 21., frissítve: 2023. augusztus 1.
WebKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak megkerülhették a Same Origin irányelvet.
Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2023-27932: anonim kutató
WebKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: A webhelyek nyomon tudtak követni bizalmas jellegű felhasználói információkat.
Leírás: Az eredetre vonatkozó információk eltávolításával hárítottuk el a hibát.
CVE-2023-27954: anonim kutató
WebKit
A következőhöz érhető el: macOS Ventura.
Érintett terület: A létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 249434
CVE-2014-1745: anonim kutató
Bejegyzés hozzáadva: 2023. december 21.
WebKit PDF
A következőhöz érhető el: macOS Ventura.
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.
WebKit Bugzilla: 249169
CVE-2023-32358: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként
Bejegyzés hozzáadva: 2023. augusztus 1.
WebKit Web Inspector
A következőhöz érhető el: macOS Ventura.
Érintett terület: Bizonyos esetekben a távoli támadók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2023-28201: Dohyun Lee (@l33d0hyun) és crixer (@pwning_me, SSD Labs)
Bejegyzés hozzáadva 2023. május 1-én.
XPC
A következőhöz érhető el: macOS Ventura.
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Egy új jogosultság bevezetésével hárítottuk el a problémát.
CVE-2023-27944: Mickey Jin (@patch1t)
További köszönetnyilvánítás
Activation Lock
Köszönjük Christian Mina segítségét.
AppleMobileFileIntegrity
Köszönjük Wojciech Reguła (@_r3ggi; SecuRing) segítségét.
Bejegyzés hozzáadva: 2023. december 21.
AppleScript
Köszönjük Mickey Jin (@patch1t) segítségét.
Calendar UI
Szeretnénk megköszönni Rafi Andhika Galuh (@rafipiun) segítségét.
Bejegyzés hozzáadva: 2023. augusztus 1.
CFNetwork
Köszönjük egy anonim kutató segítségét.
Vezérlőközpont
Köszönjük Adam M. segítségét.
Bejegyzés frissítve: 2023. december 21.
CoreServices
Köszönjük Mickey Jin (@patch1t) segítségét.
dcerpc
Köszönjük Aleksandar Nikolic (Cisco Talos) segítségét.
FaceTime
Köszönjük Sajan Karki segítségét.
file_cmds
Köszönjük Lukas Zronek segítségét.
File Quarantine
Köszönjük Koh M. Nakagawa (FFRI Security, Inc.) segítségét.
Bejegyzés hozzáadva 2023. május 1-én.
Git
Köszönjük a segítségét.
Heimdal
Köszönjük Evgeny Legerov (Intevydis) segítségét.
ImageIO
Köszönjük Meysam Firouzi @R00tkitSMM segítségét.
Kernel
Köszönjük Tim Michaud (@TimGMichaud, Moveworks.ai) segítségét.
Bejegyzés hozzáadva 2024. július 16-én.
Köszönjük a következők segítségét: Chen Zhang, Fabian Ising (FH Münster University of Applied Sciences), Damian Poddebniak (FH Münster University of Applied Sciences), Tobias Kappert (Münster University of Applied Sciences), Christoph Saatjohann (Münster University of Applied Sciences), Sebast és Merlin Chlosta (CISPA Helmholtz Center for Information Security).
NSOpenPanel
Köszönjük Alexandre Colucci (@timacfr) segítségét.
Password Manager
Szeretnénk megköszönni az OCA Creations LLC és Sebastian S. Andersen segítségét.
Bejegyzés hozzáadva 2023. május 1-én.
quarantine
Köszönjük Koh M. Nakagawa (FFRI Security, Inc.) segítségét.
Safari-letöltések
Köszönjük Andrew Gonzalez segítségét.
WebKit
Köszönjük egy anonim kutató segítségét.
WebKit Web Inspector
Köszönjük Dohyun Lee (@l33d0hyun) és crixer (@pwning_me, SSD Labs) segítségét.
Wi-Fi
Köszönjük egy anonim kutató segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.