A macOS Sonoma 14 biztonsági változásjegyzéke

Ez a dokumentum a macOS Sonoma 14 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Sonoma 14

Kiadási dátum: 2023. szeptember 26.

Airport

A következőkön érhető el: Mac Studio (2022 és újabb), iMac (2019 és újabb), Mac Pro (2019 és újabb), Mac mini (2018 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2018 és újabb) és iMac Pro (2017)

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: A bizalmas információk hatékonyabb kivonatolásával hárítottuk el a jogosultsági problémát.

CVE-2023-40384: Adam M.

AMD

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2023-32377: ABC Research s.r.o.

AMD

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-38615: ABC Research s.r.o.

AppSandbox

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-42929: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2023. december 22.

App Store

Érintett terület: A távoli támadók bizonyos esetekben ki tudtak törni a Web Content tesztkörnyezetből

Leírás: A protokollok hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2023-40448: w0wbox

AppleMobileFileIntegrity

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.

CVE-2023-42872: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2023. december 22.

Apple Neural Engine

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Bejegyzés frissítve: 2023. december 22.

Apple Neural Engine

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2023-40410: Tim Michaud (@TimGMichaud; Moveworks.ai)

Ask to Buy

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-38612: Chris Ross (Zoom)

Bejegyzés hozzáadva: 2023. december 22.

AuthKit

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2023-32361: Fitzl Csaba (@theevilbit, Offensive Security)

Bluetooth

Érintett terület: Egy közelben tartózkodó támadó korlátozott határértéken kívüli írást idézhetett elő.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-35984: zer0k

Bluetooth

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Érintett terület: Egy alkalmazás potenciálisan meg tudott kerülni bizonyos adatvédelmi beállításokat

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Érintett terület: A létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

Bejegyzés hozzáadva: 2023. december 22.

bootp

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2023-41065: Adam M., valamint Noah Roskin-Frazee és Jason Lau professzor (ZeroClicks.ai Lab)

Calendar

Érintett terület: Bizonyos esetekben egyes alkalmazások képesek voltak hozzáférni az ideiglenes könyvtárba mentett naptáradatokhoz.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2023-29497: Kirin (@Pwnrin) és Yishu Wang

CFNetwork

Érintett terület: Az alkalmazásoknál előfordulhatott, hogy nem sikerült kikényszeríteni az App Transport Securityt (ATS).

Leírás: A protokollok hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2023-38596: Will Brattain (Trail of Bits)

ColorSync

Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-40406: JeongOhKyea (Theori)

CoreAnimation

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-40420: 이준성 (Junsung Lee) (Cross Republic)

Core Data

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2023-40528: Kirin (@Pwnrin) (NorthSea)

Bejegyzés hozzáadva: 2024. január 22.

Core Image

Érintett terület: Az alkalmazások elérhették az ideiglenes könyvtárakba mentett szerkesztett fotókat.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével hárítottunk el egy problémát.

CVE-2023-40438: Wojciech Regula of SecuRing (wojciechregula.blog)

Bejegyzés hozzáadva: 2023. december 22.

CoreMedia

Leírás: Egy kamerabővítmény olyan alkalmazásokból is hozzáférhetett a kamera képéhez, amelyek nem rendelkeztek az ehhez szükséges engedéllyel.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát

CVE-2023-41994: Halle Winkler, Politepix @hallewinkler

Bejegyzés hozzáadva: 2023. december 22.

CUPS

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2023-40407: Sei K.

Dev Tools

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

Bejegyzés frissítve: 2023. december 22.

FileProvider

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2023-41980: Noah Roskin-Frazee és Jason Lau professzor (ZeroClicks.ai Lab)

FileProvider

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2023-40411: Noah Roskin-Frazee és Prof. J. (ZeroClicks.ai Lab), valamint Csaba Fitzl (@theevilbit, Offensive Security)

Bejegyzés hozzáadva: 2023. december 22.

Game Center

Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a kontaktokhoz.

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2023-40395: Fitzl Csaba (@theevilbit) (Offensive Security)

GPU Drivers

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-40391: Antonio Zekic (@antoniozekic, Dataflow Security)

GPU Drivers

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy erőforrásfogyással kapcsolatos hibát.

CVE-2023-40441: Ron Masas (Imperva)

iCloud

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A bizalmas információk hatékonyabb kivonatolásával hárítottuk el a jogosultsági problémát.

CVE-2023-23495: Fitzl Csaba (@theevilbit; Offensive Security)

iCloud Photo Library

Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a felhasználó fotókönyvtárához.

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2023-40434: Mikko Kenttälä (@Turmio_ , SensorFu)

Image Capture

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Érintett terület: Bizonyos esetekben a támadók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudtak a kernelmemóriában.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2023-40436: Murray Mike

Kernel

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy „Use-after-free” (felszabadítás utáni használattal kapcsolatos) problémát.

CVE-2023-41995: Certik Skyfall Team és pattern-f (@pattern_F_, Ant Security Light-Year Lab)

CVE-2023-42870: Zweig (Kunlun Lab)

Bejegyzés frissítve: 2023. december 22.

Kernel

Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória használatára vonatkozó korlátozásokat.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-41981: Linus Henze (Pinauten GmbH, pinauten.de)

Kernel

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

Kernel

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb érvényesség-ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2023-40429: Michael (Biscuit) Thomas és 张师傅 (@京东蓝军)

Kernel

Érintett terület: A távoli felhasználók elő tudták idézni egy kernelkód végrehajtását

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2023-41060: Joseph Ravichandran (@0xjprx, MIT CSAIL)

Bejegyzés hozzáadva: 2023. december 22.

LaunchServices

Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo, Jamf Software) és egy anonim kutató

libpcap

Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2023-40400: Sei K.

libxpc

Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2023-40454: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab, xlab.tencent.com)

libxpc

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2023-41073: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab, xlab.tencent.com)

libxslt

Érintett terület: A webes tartalmak feldolgozásakor bizonyos esetekben bizalmas információkhoz lehetett hozzájutni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-40403: Dohyun Lee (@l33d0hyun, PK Security)

Maps

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2023-40427: Adam M. és Wojciech Regula (SecuRing (wojciechregula.blog))

Messages

Érintett terület: Az alkalmazások meg tudták figyelni a védelem nélküli felhasználói adatokat.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2023-32421: Meng Zhang (鲸落, NorthSea), Ron Masas (BreakPoint Security Research), Brian McNulty és Kishan Bagaria (Texts.com)

Model I/O

Érintett terület: A fájlok feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-42826: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

Bejegyzés hozzáadva 2023. október 19-én.

Music

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-41986: Kalman Gergely (@gergely_kalman)

NetFSFramework

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2023-40455: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)

Notes

Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a Jegyzetek mellékleteihez.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Érintett terület: Sebezhetőséget találtak az OpenSSH távoli továbbítási funkciójában.

Leírás: Az OpenSSH to 9.3p2-es verziójára való frissítéssel hárítottuk el a problémát.

CVE-2023-38408: baba yaga, egy anonim kutató

Bejegyzés hozzáadva: 2023. december 22.

Passkeys

Hatás: A támadó hitelesítés nélkül hozzáférhet a jelkódokhoz

Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.

CVE-2023-40401: weize she és egy anonim kutató

Bejegyzés hozzáadva: 2023. december 22.

Photos

Hatás: A Rejtett fotók albumban lévő fényképeket hitelesítés nélkül megtekinthetik

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2023-40393: egy anonim kutató, Berke Kırbaş és Harsh Jaiswal

Bejegyzés hozzáadva: 2023. december 22.

Photos Storage

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások hozzá tudtak férni személyes információkhoz.

Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.

CVE-2023-42934: Wojciech Regula (SecuRing, wojciechregula.blog)

Bejegyzés hozzáadva: 2023. december 22.

Power Management

Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy zárolt képernyővel kapcsolatos hibát.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi (George Mason University) és Billy Tabrizi

Bejegyzés frissítve: 2023. december 22.

Printing

Érintett terület: Az alkalmazások képesek voltak módosítani a nyomtatóbeállításokat

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Bejegyzés hozzáadva: 2023. december 22.

Printing

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2023-41987: Kirin (@Pwnrin) és Wojciech Regula (SecuRing, wojciechregula.blog)

Bejegyzés hozzáadva: 2023. december 22.

Pro Res

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-40422: Tomi Tokics (@tomitokics, iTomsn0w)

Safari

Érintett terület: A webes tartalmak feldolgozásakor bizonyos esetekben bizalmas információkhoz lehetett hozzájutni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Érintett terület: A Safari bizonyos esetekben nem védett helyen tárolta a fotókat.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Érintett terület: Az alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-35990: Adriatik Raci (Sentry Cybersecurity)

Safari

Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy ablakkezelési problémát.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati, Suma Soft Pvt.) Ltd., Púna, India)

Bejegyzés frissítve: 2023. december 22.

Sandbox

Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is felülírni

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Érintett terület: Az alkalmazások képesek voltak hozzáférni az eltávolítható kötetekhez felhasználói engedély nélkül

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Bejegyzés hozzáadva: 2023. december 22.

Sandbox

Érintett terület: Előfordult, hogy a hitelesítési ellenőrzésen megbukó alkalmazások is elindultak.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-41996: Mickey Jin (@patch1t) és Yiğit Can YILMAZ (@yilmazcanyigit)

Bejegyzés hozzáadva: 2023. december 22.

Screen Sharing

Érintett terület: Egy alkalmazás potenciálisan meg tudott kerülni bizonyos adatvédelmi beállításokat

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2023-41078: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)

Share Sheet

Érintett terület: Az alkalmazások hozzáférhettek a naplózott bizalmas adatokhoz olyankor, ha egy felhasználó megosztott egy hivatkozást.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Érintett terület: Bizonyos esetekben a parancsok bizalmas adatokat jelenítettek meg a felhasználó hozzájárulása nélkül.

Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) és James Duffy (mangoSecure)

Shortcuts

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2023-41079: Ron Masas (BreakPoint.sh) és egy anonim kutató

Spotlight

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-40443: Kalman Gergely (@gergely_kalman)

Bejegyzés hozzáadva: 2023. december 22.

StorageKit

Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2023-41968: Mickey Jin (@patch1t) és James Hutchins

System Preferences

Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-40450: Thijs Alkemade (@xnyhps, Computest Sector 7)

TCC

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) és Fitzl Csaba (@theevilbit, Offensive Security)

WebKit

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) és Dohyun Lee (@l33d0hyun, PK Security)

WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)

Bejegyzés frissítve: 2023. december 22.

WebKit

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

WebKit Bugzilla: 256551
CVE-2023-41074: 이준성 (Junsung Lee, Cross Republic) és Jie Ding (@Lime, HKUS3 Lab)

Bejegyzés frissítve: 2023. december 22.

WebKit

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim (@smlijun) és Jong Seong Kim (@nevul37)

Bejegyzés frissítve: 2023. december 22.

WebKit

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 16.7 előtt kiadott iOS-verziókban.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak (The Citizen Lab, University of Toronto, Munk School) és Maddie Stone (Google Threat Analysis Group)

WebKit

Hatás: A felhasználó jelszavát a VoiceOver hangosan felolvashatja

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston

Bejegyzés hozzáadva: 2023. december 22.

WebKit

Érintett terület: Egy távoli támadó megtekinthetett kiszivárgott DNS-lekérdezéseket, ha be volt kapcsolva a Privát átjátszó

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

WebKit Bugzilla: 257303
CVE-2023-40385: anonim

Bejegyzés hozzáadva: 2023. december 22.

WebKit

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.

WebKit Bugzilla: 258592
CVE-2023-42833: Abysslab – Dong Jun Kim (@smlijun) és Jong Seong Kim (@nevul37)

Bejegyzés hozzáadva: 2023. december 22.

Wi-Fi

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába

Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.

CVE-2023-38610: Wang Yu (Cyberserval)

Bejegyzés hozzáadva: 2023. december 22.

Windows Server

Érintett terület: Bizonyos esetekben egyes alkalmazások a biztonságos szövegmezőkből váratlanul ki tudtak szivárogtatni felhasználói hitelesítési adatokat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2023-41066: Egy anonim kutató, Jeremy Legendre (MacEnhance) és Felix Kratz

Bejegyzés frissítve: 2023. december 22.

XProtectFramework

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

További köszönetnyilvánítás

Airport

Szeretnénk megköszönni Adam M., Noah Roskin-Frazee és Jason Lau professzor (ZeroClicks.ai Lab) segítségét.

AppKit

Köszönjük egy anonim kutató segítségét.

Apple Neural Engine

Köszönjük pattern-f (@pattern_F_, Ant Security Light-Year Lab) segítségét.

Bejegyzés hozzáadva: 2023. december 22.

AppSandbox

Köszönjük Kirin (@Pwnrin) segítségét.

Archive Utility

Köszönjük Mickey Jin (@patch1t) segítségét.

Audio

Köszönjük Mickey Jin (@patch1t) segítségét.

Bluetooth

Köszönjük Jianjun Dai és Guang Gong (360 Vulnerability Research Institute) segítségét.

Books

Köszönjük Aapo Oksman (Nixu Cybersecurity) segítségét.

Bejegyzés hozzáadva: 2023. december 22.

Control Center

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

Bejegyzés hozzáadva: 2023. december 22.

Core Location

Köszönjük Wouter Hennen segítségét.

CoreMedia Playback

Köszönjük Mickey Jin (@patch1t) segítségét.

CoreServices

Köszönjük Thijs Alkemade (Computest Sector 7), Wojciech Reguła (@_r3ggi, SecuRing) és egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2023. december 22.

Data Detectors UI

Köszönjük Abhay Kailasia (@abhay_kailasia; Lakshmi Narain College of Technology, Bhopal) segítségét.

Find My

Köszönjük Cher Scarlett segítségét.

Home

Köszönjük Jake Derouin (jakederouin.com) segítségét.

IOGraphics

Köszönjük egy anonim kutató segítségét.

IOUserEthernet

Köszönjük a Certik Skyfall Team segítségét.

Bejegyzés hozzáadva: 2023. december 22.

Kernel

Köszönjük Bill Marczak (The Citizen Lab, The University of Toronto's Munk School), Maddie Stone (Google Threat Analysis Group), valamint Xinru Chi (Pangu Lab, 永超王) segítségét.

libxml2

Köszönjük OSS-Fuzz, Ned Williamson (Google Project Zero) segítségét.

libxpc

Köszönjük egy anonim kutató segítségét.

libxslt

Köszönjük Dohyun Lee (@l33d0hyun, PK Security), OSS-Fuzz és Ned Williamson (Google Project Zero) segítségét.

Mail

Köszönjük Taavi Eomäe (Zone Media OÜ) segítségét.

Bejegyzés hozzáadva: 2023. december 22.

Menus

Köszönjük Matthew Denton (Google Chrome Security) segítségét.

Bejegyzés hozzáadva: 2023. december 22.

Model I/O

Köszönjük Mickey Jin (@patch1t) segítségét.

NSURL

Köszönjük Zhanpeng Zhao (行之), 糖豆爸爸(@晴天组织) segítségét.

PackageKit

Köszönjük Fitzl Csaba (@theevilbit; Offensive Security) és egy anonim kutató segítségét.

Photos

Köszönjük Anatolii Kozlov, Dawid Pałuska, Kirin (@Pwnrin), Lyndon Cornelius és Paul Lurin segítségét.

Power Services

Köszönjük Mickey Jin (@patch1t) segítségét.

Bejegyzés hozzáadva: 2023. december 22.

Reminders

Köszönjük Paweł Szafirowski segítségét.

Safari

Köszönjük Kang Ali (Punggawa Cyber Security) segítségét.

Sandbox

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

SharedFileList

Köszönjük Christopher Lopez (@L0Psec és Kandji), Leo Pitt (Zoom Video Communications), Masahiro Kawada (@kawakatz, GMO Cybersecurity by Ierae) és Ross Bingham (@PwnDexter) segítségét.

Bejegyzés frissítve: 2023. december 22.

Shortcuts

Köszönjük Alfie CG, Christian Basting (Bundesamt für Sicherheit in der Informationstechnik), Cristian Dinca (Tudor Vianu Országos Számítástechnikai Középiskola, Románia), Giorgos Christodoulidis, Jubaer Alnazi (TRS vállalatcsoport), KRISHAN KANT DWIVEDI (@xenonx7) és Matthew Butler segítségét.

A bejegyzés frissítve: 2024. április 24.

Software Update

Köszönjük Omar Siman segítségét.

Spotlight

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopal) és Dawid Pałuska segítségét.

StorageKit

Köszönjük Mickey Jin (@patch1t) segítségét.

Video Apps

Szeretnénk megköszönni James Duffy (mangoSecure) segítségét.

WebKit

Köszönjük Khiem Tran és Narendra Bhati (Suma Soft Pvt. Ltd, Púna, India), valamint egy anonim kutató segítségét.

WebRTC

Köszönjük egy anonim kutató segítségét.

Wi-Fi

Köszönjük Adam M. és Wang Yu (Cyberserval) segítségét.

Bejegyzés frissítve: 2023. december 22.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2024. április 29.