A macOS Ventura 13.3 biztonsági változásjegyzéke

Ez a dokumentum a macOS Ventura 13.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Ventura 13.3

Kiadás dátuma: 2023. március 27.

AMD

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2023-32436: ABC Research s.r.o.

Bejegyzés hozzáadva 2023. október 31.

AMD

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2023-27968: ABC Research s.r.o.

CVE-2023-28209: ABC Research s.r.o.

CVE-2023-28210: ABC Research s.r.o.

CVE-2023-28211: ABC Research s.r.o.

CVE-2023-28212: ABC Research s.r.o.

CVE-2023-28213: ABC Research s.r.o.

CVE-2023-28214: ABC Research s.r.o.

CVE-2023-28215: ABC Research s.r.o.

CVE-2023-32356: ABC Research s.r.o.

Bejegyzés hozzáadva 2023. szeptember 5-én.

Apple Neural Engine

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2023-23532: Mohamed Ghannam (@_simo36)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Ventura.

Érintett terület: A felhasználók hozzáférést szerezhettek a fájlrendszer védett részeihez

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-23527: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2023-27931: Mickey Jin (@patch1t)

AppleScript

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az ártó szándékkal létrehozott AppleScript bináris fájlok feldolgozása váratlan alkalmazásleálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-28179: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2023. augusztus 1.

App Store

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2023-42830: Adam M.

Bejegyzés hozzáadva 2023. december 21-én, frissítve 2024. július 16-án

Archive Utility

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes archívumok bizonyos körülmények között meg tudták kerülni a Gatekeepert.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-27951: Brandon Dalton (@partyD0lphin, Red Canary), Chan Shue Long és Fitzl Csaba (@theevilbit, Offensive Security)

Bejegyzés frissítve: 2023. szeptember 5.

Calendar

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az ártó szándékkal létrehozott naptármeghívók importálása felhasználói adatok kiszivárgásához vezethetett.

Leírás: Hatékonyabb beviteltisztítással elhárítottunk több érvényesítési hibát.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Bejegyzés frissítve: 2023. szeptember 5.

Camera

A következőhöz érhető el: macOS Ventura.

Érintett terület: A sandboxban lévő appok meg tudták határozni, hogy éppen melyik app használja a kamerát.

Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.

CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)

Carbon Core

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-23534: Mickey Jin (@patch1t)

ColorSync

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-27955: JeongOhKyea

CommCenter

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2023-27936: Tingting Yin (Tsinghua University)

CoreServices

A következőhöz érhető el: macOS Ventura.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2023-40398: Mickey Jin (@patch1t)

Bejegyzés hozzáadva 2024. július 16-én.

CoreCapture

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-28181: Tingting Yin (Tsinghua University)

Crash Reporter

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2023-32426: Junoh Lee (Theori)

Bejegyzés hozzáadva 2023. szeptember 5-én.

curl

A következőhöz érhető el: macOS Ventura.

Érintett terület: Több hiba is fennállt a curl esetén.

Leírás: A curl frissítésével megoldottunk különböző problémákat.

CVE-2022-43551

CVE-2022-43552

dcerpc

A következőhöz érhető el: macOS Ventura.

Érintett terület: A távoli támadók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Elhárítottunk egy memóriainicializálási problémát.

CVE-2023-27934: Aleksandar Nikolic (Cisco Talos)

Bejegyzés frissítve: 2023. június 8.

dcerpc

A következőhöz érhető el: macOS Ventura.

Érintett terület: A magas hálózati jogosultságú felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2023-28180: Aleksandar Nikolic (Cisco Talos)

dcerpc

A következőhöz érhető el: macOS Ventura.

Érintett terület: A távoli felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)

dcerpc

A következőhöz érhető el: macOS Ventura.

Érintett terület: A távoli felhasználók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)

CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)

DesktopServices

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2023-40433: Mikko Kenttälä (@Turmio_, SensorFu)

Bejegyzés hozzáadva: 2023. december 21.

FaceTime

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Elhárítottunk egy adatvédelemmel kapcsolatos problémát azáltal, hogy biztonságosabb helyre helyeztük át a bizalmas adatokat.

CVE-2023-28190: Joshua Jones

Find My

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2023-23537: Adam M.

CVE-2023-28195: Adam M.

Bejegyzés hozzáadva 2023. szeptember 5., frissítve 2023. december 21.

FontParser

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-27956: Ye Zhang (@VAR10CK; Baidu Security)

Bejegyzés frissítve 2023. október 31.

FontParser

A következőhöz érhető el: macOS Ventura.

Érintett terület: A betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2023-32366: Ye Zhang (@VAR10CK; Baidu Security)

Bejegyzés hozzáadva 2023. október 31.

Foundation

A következőhöz érhető el: macOS Ventura.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott plist elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2023-27937: anonim kutató

iCloud

A következőhöz érhető el: macOS Ventura.

Érintett terület: A felhasználóval megosztott iCloud-mappából származó fájlok bizonyos esetekben meg tudták kerülni a Gatekeepert.

Leírás: A Gatekeeperben további ellenőrzéseket vezettünk be a felhasználóval megosztott iCloud-mappákból származó fájlok letöltéséhez, ami megoldotta a problémát.

CVE-2023-23526: Jubaer Alnazi (TRS Group of Companies)

Identity Services

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2023-27928: Fitzl Csaba (@theevilbit; Offensive Security)

ImageIO

A következőhöz érhető el: macOS Ventura.

Érintett terület: A képek feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2023-27939: jzhu, a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2023-27947: Meysam Firouzi @R00tkitSMM (Mbition Mercedes-Benz Innovation Lab)

CVE-2023-27948: Meysam Firouzi (@R00tkitSMM) (Mbition Mercedes-Benz Innovation Lab)

CVE-2023-42862: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab)

CVE-2023-42865: jzhu a Trend Micro Zero Day Initiative keretében és Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab)

Bejegyzés hozzáadva 2023. augusztus 1., frissítve 2023. december 21.

ImageIO

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-23535: ryuzaki

ImageIO

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) és jzhu, a Trend Micro Zero Day kezdeményezés keretében

ImageIO

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2023-27946: Mickey Jin (@patch1t)

ImageIO

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2023-27957: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy „Use-after-free” (felszabadítás utáni használattal kapcsolatos) problémát.

CVE-2023-32378: Murray Mike

Bejegyzés hozzáadva 2023. október 31.

Kernel

A következőhöz érhető el: macOS Ventura.

Érintett terület: A felhasználók bizonyos esetekben szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

CVE-2023-28187: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

Bejegyzés hozzáadva 2023. szeptember 5-én.

Kernel

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Egy határértéken kívüli olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2023-27941: Arsenii Kostromin (0x3c3e)

CVE-2023-28199: Arsenii Kostromin (0x3c3e)

Bejegyzés hozzáadva: 2023. augusztus 1., frissítve 2023. október 31.

Kernel

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2023-23536: Félix Poulin-Bélanger és David Pan Ogea

Bejegyzés hozzáadva: 2023. május 1., frissítve: 2023. október 31.

Kernel

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2023-23514: Xinru Chi (Pangu Lab) és Ned Williamson (Google Project Zero)

CVE-2023-27969: Adam Doupé (ASU SEFCOM)

Kernel

A következőhöz érhető el: macOS Ventura.

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-27933: sqrtpwn

Kernel

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2023-28200: Arsenii Kostromin (0x3c3e)

LaunchServices

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az internetről letöltött fájloknál bizonyos esetekben a rendszer nem alkalmazta a karanténjelölőt.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2023-27943: egy anonim kutató, Brandon Dalton (@partyD0lphin, Red Canary), Milan Tenk és Arthur Valiev (F-Secure Corporation)

Bejegyzés frissítve 2023. október 31.

LaunchServices

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2023-23525: Mickey Jin (@patch1t)

libc

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2023-40383: Mickey Jin (@patch1t)

Bejegyzés hozzáadva 2023. október 31.

libpthread

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2023-41075: Zweig (Kunlun Lab)

Bejegyzés hozzáadva: 2023. december 21.

Mail

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások bizalmas információkhoz fértek hozzá.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-28189: Mickey Jin (@patch1t)

Bejegyzés hozzáadva 2023. május 1-én.

Messages

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2023-28197: Joshua Jones

Bejegyzés hozzáadva 2023. október 31.

Model I/O

A következőhöz érhető el: macOS Ventura.

Érintett terület: A képek feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2023-27950: Mickey Jin (@patch1t)

Bejegyzés hozzáadva 2023. szeptember 5-én.

Model I/O

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2023-27949: Mickey Jin (@patch1t)

NetworkExtension

A következőhöz érhető el: macOS Ventura.

Érintett terület: A hálózaton kiemelt jogosultsággal rendelkező felhasználók bizonyos esetekben meg tudták hamisítani az identitását egy olyan VPN-szervernek, amelyet EAP-only hitelesítéssel konfiguráltak a készüléken.

Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát.

CVE-2023-28182: Zhuowei Zhang

PackageKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2023-23538: Mickey Jin (@patch1t)

CVE-2023-27962: Mickey Jin (@patch1t)

Photos

A következőhöz érhető el: macOS Ventura.

Érintett terület: A Rejtett fotók albumba tartozó fájlokat a Vizuális definiálás funkcióval hitelesítés nélkül is meg lehetett tekinteni.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2023-23523: developStorm

Podcastok

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-27942: Mickey Jin (@patch1t)

Quick Look

A következőhöz érhető el: macOS Ventura.

Érintett terület: A webhelyek nyomon tudtak követni bizalmas jellegű felhasználói információkat.

Leírás: Módosítottuk a hibakezelést, amely így már nem fed fel érzékeny információkat.

CVE-2023-32362: Khiem Tran

Bejegyzés hozzáadva 2023. szeptember 5-én.

Safari

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2023-27952: Fitzl Csaba (@theevilbit; Offensive Security)

Sandbox

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa (FFRI Security, Inc.) és Fitzl Csaba (@theevilbit, Offensive Security)

Sandbox

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

SharedFileList

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-27966: Masahiro Kawada (@kawakatz), GMO Cybersecurity by Ierae

Bejegyzés hozzáadva: 2023. május 1., frissítve: 2023. augusztus 1.

Shortcuts

A következőhöz érhető el: macOS Ventura.

Érintett terület: Bizonyos esetekben a parancsok bizonyos műveletek során bizalmas adatokat tudtak felhasználni anélkül, hogy erről megkérdezték volna a felhasználót.

Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.

CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies), valamint Wenchao Li és Xiaolong Bai (Alibaba Group)

System Settings

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2023-23542: Adam M.

Bejegyzés frissítve: 2023. szeptember 5.

System Settings

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat

Leírás: Hatékonyabb érvényesség-ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2023-28192: Guilherme Rambo (Best Buddy Apps, rambo.codes)

TCC

A következőhöz érhető el: macOS Ventura.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2023-27931: Mickey Jin (@patch1t)

TextKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: Távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2023-28188: Xin Huang (@11iaxH)

Bejegyzés hozzáadva 2023. szeptember 5-én.

Vim

A következőhöz érhető el: macOS Ventura.

Érintett terület: A Vimmel kapcsolatos többféle probléma.

Leírás: Több hibát elhárítottunk a Vim 9.0.1191-es verziójára való frissítéssel.

CVE-2023-0049

CVE-2023-0051

CVE-2023-0054

CVE-2023-0288

CVE-2023-0433

CVE-2023-0512

WebKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: Előfordult, hogy a helyettesítő karaktereket tartalmazó tartományok blokkolására szolgáló tartalombiztonsági szabályzat nem működött megfelelően.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

WebKit Bugzilla: 250709

CVE-2023-32370: Gertjan Franken (imec-DistriNet), KU Leuven

Bejegyzés hozzáadva 2023. szeptember 5-én.

WebKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 250429

CVE-2023-28198: hazbinhotel, a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva: 2023. augusztus 1.

WebKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor. Az Apple tisztában van vele, hogy a problémát aktívan kihasználták az iOS 15.7 előtt kiadott iOS-verziókban.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

WebKit Bugzilla: 251890

CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) és Valentin Pashkov (Kaspersky)

Bejegyzés hozzáadva: 2023. június 21., frissítve: 2023. augusztus 1.

WebKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak megkerülhették a Same Origin irányelvet.

Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

CVE-2023-27932: anonim kutató

WebKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: A webhelyek nyomon tudtak követni bizalmas jellegű felhasználói információkat.

Leírás: Az eredetre vonatkozó információk eltávolításával hárítottuk el a hibát.

CVE-2023-27954: anonim kutató

WebKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: A létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

WebKit Bugzilla: 249434

CVE-2014-1745: anonim kutató

Bejegyzés hozzáadva: 2023. december 21.

WebKit PDF

A következőhöz érhető el: macOS Ventura.

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

WebKit Bugzilla: 249169

CVE-2023-32358: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva: 2023. augusztus 1.

WebKit Web Inspector

A következőhöz érhető el: macOS Ventura.

Érintett terület: Bizonyos esetekben a távoli támadók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

CVE-2023-28201: Dohyun Lee (@l33d0hyun) és crixer (@pwning_me, SSD Labs)

Bejegyzés hozzáadva 2023. május 1-én.

XPC

A következőhöz érhető el: macOS Ventura.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Egy új jogosultság bevezetésével hárítottuk el a problémát.

CVE-2023-27944: Mickey Jin (@patch1t)

További köszönetnyilvánítás

Activation Lock

Köszönjük Christian Mina segítségét.

AppleMobileFileIntegrity

Köszönjük Wojciech Reguła (@_r3ggi; SecuRing) segítségét.

Bejegyzés hozzáadva: 2023. december 21.

AppleScript

Köszönjük Mickey Jin (@patch1t) segítségét.

Calendar UI

Szeretnénk megköszönni Rafi Andhika Galuh (@rafipiun) segítségét.

Bejegyzés hozzáadva: 2023. augusztus 1.

CFNetwork

Köszönjük egy anonim kutató segítségét.

Vezérlőközpont

Köszönjük Adam M. segítségét.

Bejegyzés frissítve: 2023. december 21.

CoreServices

Köszönjük Mickey Jin (@patch1t) segítségét.

dcerpc

Köszönjük Aleksandar Nikolic (Cisco Talos) segítségét.

FaceTime

Köszönjük Sajan Karki segítségét.

file_cmds

Köszönjük Lukas Zronek segítségét.

File Quarantine

Köszönjük Koh M. Nakagawa (FFRI Security, Inc.) segítségét.

Bejegyzés hozzáadva 2023. május 1-én.

Git

Köszönjük a segítségét.

Heimdal

Köszönjük Evgeny Legerov (Intevydis) segítségét.

ImageIO

Köszönjük Meysam Firouzi @R00tkitSMM segítségét.

Kernel

Köszönjük Tim Michaud (@TimGMichaud, Moveworks.ai) segítségét.

Bejegyzés hozzáadva 2024. július 16-én.

Mail

Köszönjük a következők segítségét: Chen Zhang, Fabian Ising (FH Münster University of Applied Sciences), Damian Poddebniak (FH Münster University of Applied Sciences), Tobias Kappert (Münster University of Applied Sciences), Christoph Saatjohann (Münster University of Applied Sciences), Sebast és Merlin Chlosta (CISPA Helmholtz Center for Information Security).

NSOpenPanel

Köszönjük Alexandre Colucci (@timacfr) segítségét.

Password Manager

Szeretnénk megköszönni az OCA Creations LLC és Sebastian S. Andersen segítségét.

Bejegyzés hozzáadva 2023. május 1-én.

quarantine

Köszönjük Koh M. Nakagawa (FFRI Security, Inc.) segítségét.

Safari-letöltések

Köszönjük Andrew Gonzalez segítségét.

WebKit

Köszönjük egy anonim kutató segítségét.

WebKit Web Inspector

Köszönjük Dohyun Lee (@l33d0hyun) és crixer (@pwning_me, SSD Labs) segítségét.

Wi-Fi

Köszönjük egy anonim kutató segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: