A macOS Sonoma 14 biztonsági változásjegyzéke
Ez a dokumentum a macOS Sonoma 14 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Sonoma 14
Kiadási dátum: 2023. szeptember 26.
AirPort
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: A bizalmas információk hatékonyabb kivonatolásával hárítottuk el a jogosultsági problémát.
CVE-2023-40384: Adam M.
AMD
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2023-32377: ABC Research s.r.o.
AMD
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-38615: ABC Research s.r.o.
App Store
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A távoli támadók bizonyos esetekben ki tudtak törni a Web Content tesztkörnyezetből
Leírás: A protokollok hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2023-40448: w0wbox
Apple Neural Engine
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-42871: Mohamed GHANNAM (@_simo36)
Bejegyzés frissítve: 2023. december 22.
Apple Neural Engine
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-40410: Tim Michaud (@TimGMichaud; Moveworks.ai)
AppleMobileFileIntegrity
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.
CVE-2023-42872: Mickey Jin (@patch1t)
Bejegyzés hozzáadva: 2023. december 22.
AppSandbox
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-42929: Mickey Jin (@patch1t)
Bejegyzés hozzáadva: 2023. december 22.
AppSandbox
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a Jegyzetek mellékleteihez.
Leírás: Az adattárolókhoz való hozzáférés hatékonyabb korlátozásával orvosultuk a problémát.
CVE-2023-42925: Wojciech Reguła (@_r3ggi) és Kirin (@Pwnrin)
Bejegyzés hozzáadva 2024. július 16-én.
Ask to Buy
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-38612: Chris Ross (Zoom)
Bejegyzés hozzáadva: 2023. december 22.
AuthKit
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2023-32361: Fitzl Csaba (@theevilbit, Offensive Security)
Bluetooth
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egy közelben tartózkodó támadó korlátozott határértéken kívüli írást idézhetett elő.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-35984: zer0k
Bluetooth
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)
Bluetooth
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egy alkalmazás potenciálisan meg tudott kerülni bizonyos adatvédelmi beállításokat
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)
BOM
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)
Bejegyzés hozzáadva: 2023. december 22.
bootp
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-41065: Adam M., valamint Noah Roskin-Frazee és Jason Lau professzor (ZeroClicks.ai Lab)
Calendar
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Bizonyos esetekben egyes alkalmazások képesek voltak hozzáférni az ideiglenes könyvtárba mentett naptáradatokhoz.
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2023-29497: Kirin (@Pwnrin) és Yishu Wang
CFNetwork
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazásoknál előfordulhatott, hogy nem sikerült kikényszeríteni az App Transport Securityt (ATS).
Leírás: A protokollok hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2023-38596: Will Brattain (Trail of Bits)
Clock
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-42943: Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia).
Bejegyzés hozzáadva 2024. július 16-én.
ColorSync
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-40406: JeongOhKyea (Theori)
CoreAnimation
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40420: 이준성 (Junsung Lee) (Cross Republic)
Core Data
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2023-40528: Kirin (@Pwnrin) (NorthSea)
Bejegyzés hozzáadva: 2024. január 22.
Core Image
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások elérhették az ideiglenes könyvtárakba mentett szerkesztett fotókat.
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével hárítottunk el egy problémát.
CVE-2023-40438: Wojciech Regula of SecuRing (wojciechregula.blog)
Bejegyzés hozzáadva: 2023. december 22.
CoreMedia
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Leírás: Egy kamerabővítmény olyan alkalmazásokból is hozzáférhetett a kamera képéhez, amelyek nem rendelkeztek az ehhez szükséges engedéllyel.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát
CVE-2023-41994: Halle Winkler, Politepix @hallewinkler
Bejegyzés hozzáadva: 2023. december 22.
CUPS
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-40407: Sei K.
Dev Tools
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2023-32396: Mickey Jin (@patch1t)
CVE-2023-42933: Mickey Jin (@patch1t)
Bejegyzés frissítve: 2023. december 22.
FileProvider
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2023-41980: Noah Roskin-Frazee és Jason Lau professzor (ZeroClicks.ai Lab)
FileProvider
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.
CVE-2023-40411: Noah Roskin-Frazee és Prof. J. (ZeroClicks.ai Lab), valamint Csaba Fitzl (@theevilbit, Offensive Security)
Bejegyzés hozzáadva: 2023. december 22.
Game Center
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a kontaktokhoz.
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2023-40395: Fitzl Csaba (@theevilbit) (Offensive Security)
GPU Drivers
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40391: Antonio Zekic (@antoniozekic, Dataflow Security)
GPU Drivers
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy erőforrásfogyással kapcsolatos hibát.
CVE-2023-40441: Ron Masas (Imperva)
Graphics Drivers
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2023-42959: Murray Mike
Bejegyzés hozzáadva 2024. július 16-én.
iCloud
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A bizalmas információk hatékonyabb kivonatolásával hárítottuk el a jogosultsági problémát.
CVE-2023-23495: Fitzl Csaba (@theevilbit; Offensive Security)
iCloud Photo Library
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a felhasználó fotókönyvtárához.
Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.
CVE-2023-40434: Mikko Kenttälä (@Turmio_ , SensorFu)
Image Capture
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.
Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.
CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)
IOAcceleratorFamily
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Bizonyos esetekben a támadók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudtak a kernelmemóriában.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-40436: Murray Mike
IOUserEthernet
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40396: Certik Skyfall Team
Bejegyzés hozzáadva 2024. július 16-én.
Kernel
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy „Use-after-free” (felszabadítás utáni használattal kapcsolatos) problémát.
CVE-2023-41995: Certik Skyfall Team és pattern-f (@pattern_F_, Ant Security Light-Year Lab)
CVE-2023-42870: Zweig (Kunlun Lab)
Bejegyzés frissítve: 2023. december 22.
Kernel
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória használatára vonatkozó korlátozásokat.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-41981: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Kernel
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: Hatékonyabb érvényesség-ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2023-40429: Michael (Biscuit) Thomas és 张师傅 (@京东蓝军)
Kernel
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A távoli felhasználók elő tudták idézni egy kernelkód végrehajtását
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.
CVE-2023-41060: Joseph Ravichandran (@0xjprx, MIT CSAIL)
Bejegyzés hozzáadva: 2023. december 22.
LaunchServices
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2023-41067: Ferdous Saljooki (@malwarezoo, Jamf Software) és egy anonim kutató
libpcap
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2023-40400: Sei K.
libxpc
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2023-40454: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab, xlab.tencent.com)
libxpc
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2023-41073: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab, xlab.tencent.com)
libxslt
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A webes tartalmak feldolgozásakor bizonyos esetekben bizalmas információkhoz lehetett hozzájutni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40403: Dohyun Lee (@l33d0hyun, PK Security)
Maps
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2023-40427: Adam M. és Wojciech Regula (SecuRing (wojciechregula.blog))
Maps
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2023-42957: Adam M. és Ron Masas (BreakPoint Security Research)
Bejegyzés hozzáadva 2024. július 16-én.
Messages
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások meg tudták figyelni a védelem nélküli felhasználói adatokat.
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2023-32421: Meng Zhang (鲸落, NorthSea), Ron Masas (BreakPoint Security Research), Brian McNulty és Kishan Bagaria (Texts.com)
Model I/O
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A fájlok feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-42826: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative
Bejegyzés hozzáadva 2023. október 19-én.
Model I/O
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2023-42918: Mickey Jin (@patch1t)
Bejegyzés hozzáadva 2024. július 16-én.
Music
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-41986: Kalman Gergely (@gergely_kalman)
NetFSFramework
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2023-40455: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
Notes
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a Jegyzetek mellékleteihez.
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2023-40386: Kirin (@Pwnrin)
OpenSSH
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Sebezhetőséget találtak az OpenSSH távoli továbbítási funkciójában.
Leírás: Az OpenSSH to 9.3p2-es verziójára való frissítéssel hárítottuk el a problémát.
CVE-2023-38408: baba yaga, egy anonim kutató
Bejegyzés hozzáadva: 2023. december 22.
Passkeys
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Hatás: A támadó hitelesítés nélkül hozzáférhet a jelkódokhoz
Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.
CVE-2023-40401: weize she és egy anonim kutató
Bejegyzés hozzáadva: 2023. december 22.
Photos
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A Rejtett album fotóit hitelesítés nélkül is meg lehetett tekinteni a Fotókban.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.
CVE-2023-40393: egy anonim kutató, Berke Kırbaş és Harsh Jaiswal
Bejegyzés hozzáadva: 2023. december 22.
Photos
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások elérhették az ideiglenes könyvtárakba mentett szerkesztett fotókat.
Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.
CVE-2023-42949: Kirin (@Pwnrin)
Bejegyzés hozzáadva 2024. július 16-én.
Photos Storage
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások hozzá tudtak férni személyes információkhoz.
Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.
CVE-2023-42934: Wojciech Regula (SecuRing, wojciechregula.blog)
Bejegyzés hozzáadva: 2023. december 22.
Power Management
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy zárolt képernyővel kapcsolatos hibát.
CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi (George Mason University) és Billy Tabrizi
Bejegyzés frissítve: 2023. december 22.
Printing
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások képesek voltak módosítani a nyomtatóbeállításokat
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)
Bejegyzés hozzáadva: 2023. december 22.
Printing
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2023-41987: Kirin (@Pwnrin) és Wojciech Regula (SecuRing, wojciechregula.blog)
Bejegyzés hozzáadva: 2023. december 22.
Pro Res
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-41063: Certik Skyfall Team
QuartzCore
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40422: Tomi Tokics (@tomitokics, iTomsn0w)
Safari
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A webes tartalmak feldolgozásakor bizonyos esetekben bizalmas információkhoz lehetett hozzájutni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-39233: Luan Herrera (@lbherrera_)
Safari
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: A Safari bizonyos esetekben nem védett helyen tárolta a fotókat.
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2023-40388: Kirin (@Pwnrin)
Safari
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-35990: Adriatik Raci (Sentry Cybersecurity)
Safari
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy ablakkezelési problémát.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati, Suma Soft Pvt.) Ltd., Púna, India)
Bejegyzés frissítve: 2023. december 22.
Sandbox
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is felülírni
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Sandbox
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások képesek voltak hozzáférni az eltávolítható kötetekhez felhasználói engedély nélkül
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)
Bejegyzés hozzáadva: 2023. december 22.
Sandbox
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Előfordult, hogy a hitelesítési ellenőrzésen megbukó alkalmazások is elindultak.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-41996: Mickey Jin (@patch1t) és Yiğit Can YILMAZ (@yilmazcanyigit)
Bejegyzés hozzáadva: 2023. december 22.
Screen Sharing
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egy alkalmazás potenciálisan meg tudott kerülni bizonyos adatvédelmi beállításokat
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2023-41078: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
Share Sheet
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások hozzáférhettek a naplózott bizalmas adatokhoz olyankor, ha egy felhasználó megosztott egy hivatkozást.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2023-41070: Kirin (@Pwnrin)
Shortcuts
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Bizonyos esetekben a parancsok bizalmas adatokat jelenítettek meg a felhasználó hozzájárulása nélkül.
Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.
CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) és James Duffy (mangoSecure)
Shortcuts
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.
CVE-2023-41079: Ron Masas (BreakPoint.sh) és egy anonim kutató
Spotlight
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-40443: Kalman Gergely (@gergely_kalman)
Bejegyzés hozzáadva: 2023. december 22.
StorageKit
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni
Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2023-41968: Mickey Jin (@patch1t) és James Hutchins
System Preferences
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-40450: Thijs Alkemade (@xnyhps, Computest Sector 7)
System Settings
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Előfordult, hogy a Wi-Fi-jelszó nem törlődött a Mac a macOS-helyreállítás funkcióval történő aktiválása során.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2023-42948: Andrew Haggard
Bejegyzés hozzáadva 2024. július 16-én.
TCC
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) és Fitzl Csaba (@theevilbit, Offensive Security)
WebKit
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) és Dohyun Lee (@l33d0hyun, PK Security)
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Bejegyzés frissítve: 2023. december 22.
WebKit
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성 (Junsung Lee, Cross Republic) és Jie Ding (@Lime, HKUS3 Lab)
Bejegyzés frissítve: 2023. december 22.
WebKit
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim (@smlijun) és Jong Seong Kim (@nevul37)
Bejegyzés frissítve: 2023. december 22.
WebKit
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 16.7 előtt kiadott iOS-verziókban.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak (The Citizen Lab, University of Toronto, Munk School) és Maddie Stone (Google Threat Analysis Group)
WebKit
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Hatás: A felhasználó jelszavát a VoiceOver hangosan felolvashatja
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
Bejegyzés hozzáadva: 2023. december 22.
WebKit
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Egy távoli támadó megtekinthetett kiszivárgott DNS-lekérdezéseket, ha be volt kapcsolva a Privát átjátszó
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
WebKit Bugzilla: 257303
CVE-2023-40385: anonim
Bejegyzés hozzáadva: 2023. december 22.
WebKit
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.
WebKit Bugzilla: 258592
CVE-2023-42833: Abysslab – Dong Jun Kim (@smlijun) és Jong Seong Kim (@nevul37)
Bejegyzés hozzáadva: 2023. december 22.
Wi-Fi
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.
CVE-2023-38610: Wang Yu (Cyberserval)
Bejegyzés hozzáadva: 2023. december 22.
Windows Server
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Bizonyos esetekben egyes alkalmazások a biztonságos szövegmezőkből váratlanul ki tudtak szivárogtatni felhasználói hitelesítési adatokat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.
CVE-2023-41066: Egy anonim kutató, Jeremy Legendre (MacEnhance) és Felix Kratz
Bejegyzés frissítve: 2023. december 22.
XProtectFramework
A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.
CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)
További köszönetnyilvánítás
Airport
Szeretnénk megköszönni Adam M., Noah Roskin-Frazee és Jason Lau professzor (ZeroClicks.ai Lab) segítségét.
AppKit
Köszönjük egy anonim kutató segítségét.
Apple Neural Engine
Köszönjük pattern-f (@pattern_F_, Ant Security Light-Year Lab) segítségét.
Bejegyzés hozzáadva: 2023. december 22.
AppSandbox
Köszönjük Kirin (@Pwnrin) segítségét.
Archive Utility
Köszönjük Mickey Jin (@patch1t) segítségét.
Audio
Köszönjük Mickey Jin (@patch1t) segítségét.
Bluetooth
Köszönjük Jianjun Dai és Guang Gong (360 Vulnerability Research Institute) segítségét.
Books
Köszönjük Aapo Oksman (Nixu Cybersecurity) segítségét.
Bejegyzés hozzáadva: 2023. december 22.
Control Center
Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.
Bejegyzés hozzáadva: 2023. december 22.
Core Location
Köszönjük Wouter Hennen segítségét.
CoreMedia Playback
Köszönjük Mickey Jin (@patch1t) segítségét.
CoreServices
Köszönjük Thijs Alkemade (Computest Sector 7), Wojciech Reguła (@_r3ggi, SecuRing) és egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2023. december 22.
Data Detectors UI
Köszönjük Abhay Kailasia (@abhay_kailasia; Lakshmi Narain College of Technology, Bhopal) segítségét.
Find My
Köszönjük Cher Scarlett segítségét.
Home
Köszönjük Jake Derouin (jakederouin.com) segítségét.
IOGraphics
Köszönjük egy anonim kutató segítségét.
IOUserEthernet
Köszönjük a Certik Skyfall Team segítségét.
Bejegyzés hozzáadva: 2023. december 22.
Kernel
Köszönjük Bill Marczak (The Citizen Lab, The University of Toronto's Munk School), Maddie Stone (Google Threat Analysis Group), valamint Xinru Chi (Pangu Lab, 永超 王) segítségét.
libxml2
Köszönjük OSS-Fuzz, Ned Williamson (Google Project Zero) segítségét.
libxpc
Köszönjük egy anonim kutató segítségét.
libxslt
Köszönjük Dohyun Lee (@l33d0hyun, PK Security), OSS-Fuzz és Ned Williamson (Google Project Zero) segítségét.
Köszönjük Taavi Eomäe (Zone Media OÜ) segítségét.
Bejegyzés hozzáadva: 2023. december 22.
Menus
Köszönjük Matthew Denton (Google Chrome Security) segítségét.
Bejegyzés hozzáadva: 2023. december 22.
NSURL
Köszönjük Zhanpeng Zhao (行之), 糖豆爸爸(@晴天组织) segítségét.
PackageKit
Köszönjük Fitzl Csaba (@theevilbit; Offensive Security) és egy anonim kutató segítségét.
Photos
Köszönjük Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius és Paul Lurin segítségét.
Bejegyzés frissítve 2024. július 16-én.
Power Services
Köszönjük Mickey Jin (@patch1t) segítségét.
Bejegyzés hozzáadva: 2023. december 22.
Reminders
Köszönjük Paweł Szafirowski segítségét.
Safari
Köszönjük Kang Ali (Punggawa Cyber Security) segítségét.
Sandbox
Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.
SharedFileList
Köszönjük Christopher Lopez (@L0Psec és Kandji), Leo Pitt (Zoom Video Communications), Masahiro Kawada (@kawakatz, GMO Cybersecurity by Ierae) és Ross Bingham (@PwnDexter) segítségét.
Bejegyzés frissítve: 2023. december 22.
Shortcuts
Köszönjük Alfie CG, Christian Basting (Bundesamt für Sicherheit in der Informationstechnik), Cristian Dinca (Tudor Vianu Országos Számítástechnikai Középiskola, Románia), Giorgos Christodoulidis, Jubaer Alnazi (TRS vállalatcsoport), KRISHAN KANT DWIVEDI (@xenonx7) és Matthew Butler segítségét.
A bejegyzés frissítve: 2024. április 24.
Software Update
Köszönjük Omar Siman segítségét.
Spotlight
Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopal) és Dawid Pałuska segítségét.
StorageKit
Köszönjük Mickey Jin (@patch1t) segítségét.
Video Apps
Szeretnénk megköszönni James Duffy (mangoSecure) segítségét.
WebKit
Köszönjük Khiem Tran és Narendra Bhati (Suma Soft Pvt. Ltd, Púna, India), valamint egy anonim kutató segítségét.
WebRTC
Köszönjük egy anonim kutató segítségét.
Wi-Fi
Köszönjük Adam M. és Wang Yu (Cyberserval) segítségét.
Bejegyzés frissítve: 2023. december 22.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.