Mengenai konten keamanan macOS Sonoma 14

Dokumen ini menjelaskan konten keamanan macOS Sonoma 14.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Sonoma 14

Dirilis pada 26 September 2023

AirPort

Tersedia untuk: Mac Studio (2022 dan versi yang lebih baru), iMac (2019 dan versi yang lebih baru), Mac Pro (2019 dan versi yang lebih baru), Mac mini (2018 dan versi yang lebih baru), MacBook Air (2018 dan versi yang lebih baru), MacBook Pro (2018 dan versi yang lebih baru), dan iMac Pro (2017)

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah izin telah diatasi dengan penyamaran informasi sensitif yang lebih baik.

CVE-2023-40384: Adam M.

AMD

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-32377: ABC Research s.r.o.

AMD

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-38615: ABC Research s.r.o.

App Store

Dampak: Penyerang jarak jauh mungkin dapat keluar dari sandbox Konten Web

Deskripsi: Masalah ini telah diatasi dengan penanganan protokol yang ditingkatkan.

CVE-2023-40448: w0wbox

Apple Neural Engine

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Entri diperbarui pada 22 Desember 2023

Apple Neural Engine

Dampak: App mungkin dapat mengungkapkan memori kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Dampak: App mungkin dapat mengungkapkan memori kernel

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2023-40410: Tim Michaud (@TimGMichaud) dari Moveworks.ai

AppleMobileFileIntegrity

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin tambahan.

CVE-2023-42872: Mickey Jin (@patch1t)

Entri ditambahkan pada 22 Desember 2023

AppSandbox

Dampak: App mungkin dapat mengakses data pengguna yang dilindungi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-42929: Mickey Jin (@patch1t)

Entri ditambahkan pada 22 Desember 2023

AppSandbox

Dampak: App mungkin dapat mengakses lampiran Catatan

Deskripsi: Masalah ini telah diatasi dengan peningkatan pembatasan akses ke kontainer data.

CVE-2023-42925: Wojciech Reguła (@_r3ggi) dan Kirin (@Pwnrin)

Entri ditambahkan 16 Juli 2024

Ask to Buy

Dampak: App mungkin dapat mengakses data pengguna yang dilindungi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-38612: Chris Ross (Zoom)

Entri ditambahkan pada 22 Desember 2023

AuthKit

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.

CVE-2023-32361: Csaba Fitzl (@theevilbit) dari Offensive Security

Bluetooth

Dampak: Penyerang dengan jarak fisik yang dekat dapat menyebabkan penulisan di luar batas yang terbatas

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-35984: zer0k

Bluetooth

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Dampak: App mungkin dapat melewatkan preferensi Privasi tertentu

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Dampak: Memproses file dapat menyebabkan penolakan layanan atau berpotensi mengungkap konten memori

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

Entri ditambahkan pada 22 Desember 2023

bootp

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.

CVE-2023-41065: Adam M., serta Noah Roskin-Frazee dan Profesor Jason Lau (ZeroClicks.ai Lab)

Calendar

Dampak: App mungkin dapat mengakses data kalender yang disimpan ke direktori sementara

Deskripsi: Masalah privasi telah diatasi dengan penanganan file sementara yang ditingkatkan.

CVE-2023-29497: Kirin (@Pwnrin) dan Yishu Wang

CFNetwork

Dampak: App mungkin gagal menerapkan App Transport Security

Deskripsi: Masalah ini telah diatasi dengan penanganan protokol yang ditingkatkan.

CVE-2023-38596: Will Brattain di Trail of Bits

Clock

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.

CVE-2023-42943: Cristian Dinca dari “Tudor Vianu” National High School of Computer Science, Rumania

Entri ditambahkan 16 Juli 2024

ColorSync

Dampak: App mungkin dapat membaca file arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-40406: JeongOhKyea dari Theori

CoreAnimation

Dampak: Pemrosesan konten web dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-40420: 이준성 (Junsung Lee) dari Cross Republic

Core Data

Dampak: App mungkin dapat melewatkan preferensi Privasi

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2023-40528: Kirin (@Pwnrin) dari NorthSea

Entri ditambahkan pada 22 Januari 2024

Core Image

Dampak: App mungkin dapat mengakses editan foto yang disimpan di direktori sementara

Deskripsi: Masalah telah diatasi dengan penanganan file sementara yang ditingkatkan.

CVE-2023-40438: Wojciech Regula dari SecuRing (wojciechregula.blog)

Entri ditambahkan pada 22 Desember 2023

CoreMedia

Dampak: Ekstensi kamera mungkin dapat mengakses tampilan kamera dari app selain yang diberi izin akses tersebut

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan

CVE-2023-41994: Halle Winkler, Politepix @hallewinkler

Entri ditambahkan pada 22 Desember 2023

CUPS

Dampak: Penyerang jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-40407: Sei K.

Dev Tools

Dampak: App mungkin dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

Entri diperbarui pada 22 Desember 2023

FileProvider

Dampak: App mungkin dapat melewatkan preferensi Privasi

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2023-41980: Noah Roskin-Frazee dan Profesor Jason Lau (ZeroClicks.ai Lab)

FileProvider

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan perlindungan data yang ditingkatkan.

CVE-2023-40411: Noah Roskin-Frazee dan Prof. J. (ZeroClicks.ai Lab), dan Csaba Fitzl (@theevilbit) dari Offensive Security

Entri ditambahkan pada 22 Desember 2023

Game Center

Dampak: App mungkin dapat mengakses kontak

Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.

CVE-2023-40395: Csaba Fitzl (@theevilbit) dari Offensive Security

GPU Drivers

Dampak: App mungkin dapat mengungkapkan memori kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-40391: Antonio Zekic (@antoniozekic) dari Dataflow Security

GPU Drivers

Dampak: Pemrosesan konten web dapat mengakibatkan penolakan layanan

Deskripsi: Masalah kehabisan sumber daya diatasi dengan validasi input yang ditingkatkan.

CVE-2023-40441: Ron Masas dari Imperva

Graphics Drivers

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2023-42959: Murray Mike

Entri ditambahkan 16 Juli 2024

iCloud

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah izin telah diatasi dengan penyamaran informasi sensitif yang lebih baik.

CVE-2023-23495: Csaba Fitzl (@theevilbit) dari Offensive Security

iCloud Photo Library

Dampak: App mungkin dapat mengakses Perpustakaan Foto pengguna

Deskripsi: Masalah konfigurasi telah diatasi dengan pembatasan tambahan.

CVE-2023-40434: Mikko Kenttälä (@Turmio_) dari SensorFu

Image Capture

Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox

Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Dampak: Penyerang mungkin dapat menyebabkan penghentian sistem tiba-tiba atau membaca memori kernel

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-40436: Murray Mike

IOUserEthernet

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-40396: Tim Certik Skyfall

Entri ditambahkan 16 Juli 2024

Kernel

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2023-41995: Certik Skyfall Team, dan pattern-f (@pattern_F_) dari Ant Security Light-Year Lab

CVE-2023-42870: Zweig dari Kunlun Lab

Entri diperbarui pada 22 Desember 2023

Kernel

Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati mitigasi memori

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-41981: Linus Henze dari Pinauten GmbH (pinauten.de)

Kernel

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd.

Kernel

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.

CVE-2023-40429: Michael (Biscuit) Thomas dan 张师傅 (@京东蓝军)

Kernel

Dampak: Pengguna jarak jauh mungkin dapat mengakibatkan eksekusi kode kernel

Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) dari MIT CSAIL

Entri ditambahkan pada 22 Desember 2023

LaunchServices

Dampak: App dapat melewati pemeriksaan Gatekeeper

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo) dari Jamf Software dan peneliti anonim

libpcap

Dampak: Pengguna dari jarak jauh dapat mengakibatkan app berhenti tiba-tiba atau kode arbitrer dieksekusi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-40400: Sei K.

libxpc

Dampak: App mungkin dapat menghapus file meskipun tidak memiliki izin untuk menghapusnya

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2023-40454: Zhipeng Huo (@R3dF09) dari Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Dampak: App mungkin dapat mengakses data pengguna yang dilindungi

Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-41073: Zhipeng Huo (@R3dF09) dari Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Dampak: Pemrosesan konten web dapat mengakibatkan pengungkapan informasi sensitif

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) dari PK Security

Maps

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.

CVE-2023-40427: Adam M., dan Wojciech Regula dari SecuRing (wojciechregula.blog)

Maps

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2023-42957: Adam M., dan Ron Masas dari BreakPoint Security Research

Entri ditambahkan 16 Juli 2024

Messages

Dampak: App mungkin dapat mengamati data pengguna yang tidak terlindungi

Deskripsi: Masalah privasi telah diatasi dengan penanganan file sementara yang ditingkatkan.

CVE-2023-32421: Meng Zhang (鲸落) dari NorthSea, Ron Masas dari BreakPoint Security Research, Brian McNulty, dan Kishan Bagaria dari Texts.com

Model I/O

Dampak: Memproses file dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-42826: Michael DePlante (@izobashi) dari Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 19 Oktober 2023

Model I/O

Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2023-42918: Mickey Jin (@patch1t)

Entri ditambahkan 16 Juli 2024

Music

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2023-40455: Zhipeng Huo (@R3dF09) dari Tencent Security Xuanwu Lab (xlab.tencent.com)

Notes

Dampak: App mungkin dapat mengakses lampiran Catatan

Deskripsi: Masalah privasi telah diatasi dengan penanganan file sementara yang ditingkatkan.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Dampak: Kerentanan ditemukan dalam penerusan jarak jauh OpenSSH

Deskripsi: Masalah ini telah diatasi dengan memperbarui OpenSSH ke versi 9.3p2

CVE-2023-38408: baba yaga, peneliti anonim

Entri ditambahkan pada 22 Desember 2023

Passkeys

Dampak: Penyerang mungkin dapat mengakses kunci sandi tanpa autentikasi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin tambahan.

CVE-2023-40401: weize she dan peneliti anonim

Entri ditambahkan pada 22 Desember 2023

Photos

Dampak: Foto di Album Foto Tersembunyi dapat dilihat tanpa perlu autentikasi

Deskripsi: Masalah autentikasi telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2023-40393: peneliti anonim, Berke Kırbaş, dan Harsh Jaiswal

Entri ditambahkan pada 22 Desember 2023

Photos

Dampak: App mungkin dapat mengakses editan foto yang disimpan di direktori sementara

Deskripsi: Masalah ini telah diatasi dengan perlindungan data yang ditingkatkan.

CVE-2023-42949: Kirin (@Pwnrin)

Entri ditambahkan 16 Juli 2024

Photos Storage

Dampak: App dengan hak istimewa root mungkin dapat mengakses informasi pribadi

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan menghapus kode yang rentan.

CVE-2023-42934: Wojciech Regula dari SecuRing (wojciechregula.blog)

Entri ditambahkan pada 22 Desember 2023

Power Management

Dampak: Pengguna mungkin dapat melihat konten yang dibatasi dari layar terkunci

Deskripsi: Masalah layar kunci diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi dari George Mason University, dan Billy Tabrizi

Entri diperbarui pada 22 Desember 2023

Printing

Dampak: App mungkin dapat mengubah pengaturan Printer

Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Entri ditambahkan pada 22 Desember 2023

Printing

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-41987: Kirin (@Pwnrin), dan Wojciech Regula dari SecuRing (wojciechregula.blog)

Entri ditambahkan pada 22 Desember 2023

Pro Res

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-41063: Tim Certik Skyfall

QuartzCore

Dampak: App mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-40422: Tomi Tokics (@tomitokics) dari iTomsn0w

Safari

Dampak: Pemrosesan konten web dapat mengakibatkan pengungkapan informasi sensitif

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Dampak: Safari mungkin menyimpan foto ke lokasi yang tidak dilindungi

Deskripsi: Masalah privasi telah diatasi dengan penanganan file sementara yang ditingkatkan.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Dampak: App mungkin dapat mengidentifikasi app lain yang telah diinstal pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-35990: Adriatik Raci dari Sentry Cybersecurity

Safari

Dampak: Membuka situs web yang menampilkan bingkai konten berbahaya dapat mengakibatkan spoofing UI

Deskripsi: Masalah pengelolaan jendela telah diatasi melalui pengelolaan kondisi yang ditingkatkan.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) dari Suma Soft Pvt. Ltd, Pune (India)

Entri diperbarui pada 22 Desember 2023

Sandbox

Dampak: App mungkin dapat menimpa file arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Dampak: App mungkin dapat mengakses volume yang dapat dilepas tanpa persetujuan pengguna

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Entri ditambahkan pada 22 Desember 2023

Sandbox

Dampak: App yang gagal dalam pemeriksaan verifikasi masih dapat diluncurkan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-41996: Mickey Jin (@patch1t) dan Yiğit Can YILMAZ (@yilmazcanyigit)

Entri ditambahkan pada 22 Desember 2023

Screen Sharing

Dampak: App mungkin dapat melewatkan preferensi Privasi tertentu

Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-41078: Zhipeng Huo (@R3dF09) dari Tencent Security Xuanwu Lab (xlab.tencent.com)

Share Sheet

Dampak: App mungkin dapat mengakses data rahasia yang tersimpan saat pengguna membagikan tautan

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Dampak: Pintasan mungkin memberikan output data rahasia pengguna tanpa izin

Deskripsi: Masalah ini telah diatasi dengan menambahkan permintaan tambahan untuk izin pengguna.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) dan James Duffy (mangoSecure)

Shortcuts

Dampak: App mungkin dapat melewatkan preferensi Privasi

Deskripsi: Masalah ini telah diatasi dengan logika izin yang ditingkatkan.

CVE-2023-41079: Ron Masas dari BreakPoint.sh dan peneliti anonim

Spotlight

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

Entri ditambahkan pada 22 Desember 2023

StorageKit

Dampak: App mungkin dapat membaca file arbitrer

Deskripsi: Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.

CVE-2023-41968: Mickey Jin (@patch1t) dan James Hutchins

System Preferences

Dampak: App dapat melewati pemeriksaan Gatekeeper

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-40450: Thijs Alkemade (@xnyhps) dari Computest Sector 7

System Settings

Dampak: Kata sandi Wi-Fi mungkin tidak dihapus saat mengaktifkan Mac dalam Pemulihan macOS

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2023-42948: Andrew Haggard

Entri ditambahkan 16 Juli 2024

TCC

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33), dan Csaba Fitzl (@theevilbit) dari Offensive Security

WebKit

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

WebKit Bugzilla: 249451

CVE-2023-39434: Francisco Alonso (@revskills) dan Dohyun Lee (@l33d0hyun) dari PK Security

WebKit Bugzilla: 258992

CVE-2023-40414: Francisco Alonso (@revskills)

Entri diperbarui pada 22 Desember 2023

WebKit

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

WebKit Bugzilla: 256551

CVE-2023-41074: 이준성 (Junsung Lee) dari Cross Republic dan Jie Ding (@Lime) dari HKUS3 Lab

Entri diperbarui pada 22 Desember 2023

WebKit

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

WebKit Bugzilla: 239758

CVE-2023-35074: Ajou University Abysslab Dong Jun Kim (@smlijun) dan Jong Seong Kim (@nevul37)

Entri diperbarui pada 22 Desember 2023

WebKit

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif pada versi iOS sebelum iOS 16.7.

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

WebKit Bugzilla: 261544

CVE-2023-41993: Bill Marczak dari The Citizen Lab di The University of Toronto's Munk School dan Maddie Stone dari Grup Analisis Ancaman di Google

WebKit

Dampak: Kata sandi pengguna dapat dibacakan dengan lantang oleh VoiceOver

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.

WebKit Bugzilla: 248717

CVE-2023-32359: Claire Houston

Entri ditambahkan pada 22 Desember 2023

WebKit

Dampak: Penyerang jarak jauh mungkin dapat melihat kueri DNS yang bocor dengan Relai Pribadi dinyalakan

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

WebKit Bugzilla: 257303

CVE-2023-40385: Anonim

Entri ditambahkan pada 22 Desember 2023

WebKit

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ketepatan telah diatasi dengan pemeriksaan yang ditingkatkan.

WebKit Bugzilla: 258592

CVE-2023-42833: Dong Jun Kim (@smlijun), dan Jong Seong Kim (@nevul37) dari AbyssLab

Entri ditambahkan pada 22 Desember 2023

Wi-Fi

Dampak: App dapat mengakibatkan sistem terhenti tiba-tiba atau menulis memori kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan menghapus kode yang rentan.

CVE-2023-38610: Wang Yu dari Cyberserval

Entri ditambahkan pada 22 Desember 2023

Windows Server

Dampak: Aplikasi mungkin dapat membocorkan kredensial pengguna secara tiba-tiba dari bidang teks aman

Deskripsi: Masalah autentikasi telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2023-41066: Peneliti anonim, Jeremy Legendre dari MacEnhance, dan Felix Kratz

Entri diperbarui pada 22 Desember 2023

XProtectFramework

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Ucapan terima kasih tambahan

AirPort

Kami ingin mengucapkan terima kasih kepada Adam M., Noah Roskin-Frazee, dan Profesor Jason Lau (ZeroClicks.ai Lab) atas bantuannya.

AppKit

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

Apple Neural Engine

Kami ingin mengucapkan terima kasih kepada pattern-f (@pattern_F_) dari Ant Security Light-Year Lab atas bantuannya.

Entri ditambahkan pada 22 Desember 2023

AppSandbox

Kami ingin mengucapkan terima kasih kepada Kirin (@Pwnrin) atas bantuannya.

Archive Utility

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.

Audio

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.

Bluetooth

Kami ingin mengucapkan terima kasih kepada Jianjun Dai dan Guang Gong dari 360 Vulnerability Research Institute atas bantuannya.

Books

Kami ingin mengucapkan terima kasih kepada Aapo Oksman dari Nixu Cybersecurity atas bantuannya.

Entri ditambahkan pada 22 Desember 2023

Control Center

Kami ingin mengucapkan terima kasih kepada Yiğit Can YILMAZ (@yilmazcanyigit) atas bantuannya.

Entri ditambahkan pada 22 Desember 2023

Core Location

Kami ingin mengucapkan terima kasih kepada Wouter Hennen atas bantuannya.

CoreMedia Playback

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.

CoreServices

Kami ingin mengucapkan terima kasih kepada Thijs Alkemade dari Computest Sector 7, Wojciech Reguła (@_r3ggi) dari SecuRing, dan peneliti anonim atas bantuannya.

Entri ditambahkan pada 22 Desember 2023

Data Detectors UI

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College Of Technology Bhopal atas bantuannya.

Find My

Kami ingin mengucapkan terima kasih kepada Cher Scarlett atas bantuannya.

Home

Kami ingin mengucapkan terima kasih kepada Jake Derouin (jakederouin.com) atas bantuannya.

IOGraphics

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

IOUserEthernet

Kami ingin mengucapkan terima kasih kepada Tim Certik Skyfall atas bantuannya.

Entri ditambahkan pada 22 Desember 2023

Kernel

Kami ingin mengucapkan terima kasih kepada Bill Marczak dari The Citizen Lab di The University of Toronto's Munk School, Maddie Stone dari Grup Analisis Ancaman di Google, Xinru Chi dari Pangu Lab, dan 永超王 atas bantuannya.

libxml2

Kami ingin mengucapkan terima kasih kepada OSS-Fuzz, Ned Williamson dari Google Project Zero atas bantuannya.

libxpc

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

libxslt

Kami ingin mengucapkan terima kasih kepada Dohyun Lee (@l33d0hyun) dari PK Security, OSS-Fuzz, Ned Williamson dari Google Project Zero atas bantuannya.

Mail

Kami ingin mengucapkan terima kasih kepada Taavi Eomäe dari Zone Media OÜ atas bantuannya.

Entri ditambahkan pada 22 Desember 2023

Menus

Kami ingin mengucapkan terima kasih kepada Matthew Denton dari Keamanan Google Chrome atas bantuannya.

Entri ditambahkan pada 22 Desember 2023

NSURL

Kami ingin mengucapkan terima kasih kepada Zhanpeng Zhao (行之), 糖豆爸爸 (@晴天组织) atas bantuannya.

PackageKit

Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security dan peneliti anonim atas bantuannya.

Photos

Kami ingin mengucapkan terima kasih kepada Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius, dan Paul Lurin atas bantuannya.

Entri diperbarui pada 16 Juli 2024

Power Services

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.

Entri ditambahkan pada 22 Desember 2023

Reminders

Kami ingin mengucapkan terima kasih kepada Paweł Szafirowski atas bantuannya.

Safari

Kami ingin mengucapkan terima kasih kepada Kang Ali dari Punggawa Cyber Security atas bantuannya.

Sandbox

Kami ingin mengucapkan terima kasih kepada Yiğit Can YILMAZ (@yilmazcanyigit) atas bantuannya.

SharedFileList

Kami ingin mengucapkan terima kasih kepada Christopher Lopez - @L0Psec dan Kandji, Leo Pitt dari Zoom Video Communications, Masahiro Kawada (@kawakatz) dari GMO Cybersecurity by Ierae, dan Ross Bingham (@PwnDexter) atas bantuannya.

Entri diperbarui pada 22 Desember 2023

Shortcuts

Kami ingin mengucapkan terima kasih kepada Alfie CG, Christian Basting dari Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca dari “Tudor Vianu” National High School of Computer Science, Romania, Giorgos Christodoulidis, Jubaer Alnazi dari Grup Perusahaan TRS, KRISHAN KANT DWIVEDI (@xenonx7), dan Matthew Butler atas bantuannya.

Entri diperbarui pada 24 April 2024

Software Update

Kami ingin mengucapkan terima kasih kepada Omar Siman atas bantuannya.

Spotlight

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College Of Technology Bhopal, Dawid Pałuska atas bantuannya.

StorageKit

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.

Video Apps

Kami ingin mengucapkan terima kasih kepada James Duffy (mangoSecure) atas bantuannya.

WebKit

Kami ingin mengucapkan terima kasih kepada Khiem Tran, Narendra Bhati dari Suma Soft Pvt. Ltd, Pune (India), dan peneliti anonim atas bantuannya.

WebRTC

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

Wi-Fi

Kami ingin mengucapkan terima kasih kepada Adam M., dan Wang Yu dari Cyberserval atas bantuannya.

Entri diperbarui pada 22 Desember 2023

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: 19 Agustus 2024