Mengenai konten keamanan macOS Sonoma 14.1

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

Dirilis pada 25 Oktober 2023

App Support

Tersedia untuk: macOS Sonoma

Dampak: Menguraikan file dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2023-30774

AppSandbox

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2023-40444: Noah Roskin-Frazee dan Prof. J. (ZeroClicks.ai Lab)

Automation

Tersedia untuk: macOS Sonoma

Dampak: App dengan hak istimewa root mungkin dapat mengakses informasi pribadi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-42952: Zhipeng Huo (@R3dF09) dari Tencent Security Xuanwu Lab (xlab.tencent.com)

Entri ditambahkan pada 16 Februari 2024

Bluetooth

Tersedia untuk: macOS Sonoma

Dampak: App dapat memperoleh akses tidak sah ke Bluetooth

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2023-42945

Entri ditambahkan pada 16 Februari 2024

Contacts

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.

CVE-2023-41072: Wojciech Regula dari SecuRing (wojciechregula.blog) dan Csaba Fitzl (@theevilbit) dari Offensive Security

CVE-2023-42857: Noah Roskin-Frazee dan Prof. J. (ZeroClicks.ai Lab)

CoreAnimation

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-40449: Tomi Tokics (@tomitokics) dari iTomsn0w

Core Recents

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah telah diatasi dengan membersihkan pencatatan

CVE-2023-42823

Entri ditambahkan pada 16 Februari 2024

Emoji

Tersedia untuk: macOS Sonoma

Dampak: Penyerang mungkin dapat mengeksekusi kode arbitrer sebagai root dari Layar Terkunci

Deskripsi: Masalah ini telah diatasi dengan membatasi pilihan yang ditawarkan pada perangkat terkunci.

CVE-2023-41989: Jewel Lambert

FileProvider

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat menyebabkan penolakan layanan terhadap klien Endpoint Security

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2023-42854: Noah Roskin-Frazee dan Prof. J. (ZeroClicks.ai Lab)

Find My

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.

CVE-2023-40413: Adam M.

Find My

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah privasi telah diatasi dengan penanganan file yang ditingkatkan.

CVE-2023-42834: Csaba Fitzl (@theevilbit) dari Offensive Security

Entri ditambahkan pada 16 Februari 2024

Foundation

Tersedia untuk: macOS Sonoma

Dampak: Situs web mungkin dapat mengakses data pengguna yang sensitif ketika memproses symlink

Deskripsi: Masalah ini telah diatasi dengan penanganan symlink yang ditingkatkan.

CVE-2023-42844: Ron Masas dari BreakPoint.SH

Game Center

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol

Entri ditambahkan pada 16 Februari 2024

ImageIO

Tersedia untuk: macOS Sonoma

Dampak: Pemrosesan gambar dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-40416: JZ

ImageIO

Tersedia untuk: macOS Sonoma

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan semakin banyaknya kerusakan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-42848: JZ

Entri ditambahkan pada 16 Februari 2024

IOTextEncryptionFamily

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-40423: peneliti anonim

iperf3

Tersedia untuk: macOS Sonoma

Dampak: Pengguna jarak jauh dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-38403

Kernel

Tersedia untuk: macOS Sonoma

Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati mitigasi memori

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-42849: Linus Henze dari Pinauten GmbH (pinauten.de)

LaunchServices

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan logika izin yang ditingkatkan.

CVE-2023-42850: Thijs Alkemade (@xnyhps) dari Computest Sector 7, Brian McNulty, Zhongquan Li

libc

Tersedia untuk: macOS Sonoma

Dampak: Memproses input perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer pada app yang diinstal pengguna

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-40446: inooo

Entri ditambahkan pada 3 November 2023

libxpc

Tersedia untuk: macOS Sonoma

Dampak: App yang berbahaya dapat memperoleh hak istimewa root

Deskripsi: Masalah ini telah diatasi dengan penanganan symlink yang ditingkatkan.

CVE-2023-42942: Mickey Jin (@patch1t)

Entri ditambahkan pada 16 Februari 2024

Login Window

Tersedia untuk: macOS Sonoma

Dampak: Penyerang yang mengetahui kredensial pengguna standar dapat membuka layar terkunci dari pengguna standar lain pada Mac yang sama

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser & CPU IT, inc, Matthew McLean, Steven Maser, dan Tim TI dari Concentrix

Entri diperbarui pada 27 Oktober 2023

LoginWindow

Tersedia untuk: macOS Sonoma

Dampak: Penyerang lokal mungkin dapat melihat desktop pengguna yang masuk sebelumnya dari layar pengalihan pengguna cepat

Deskripsi: Masalah autentikasi telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2023-42935: ASentientBot

Entri ditambahkan pada 22 Januari 2024, diperbarui pada 24 April 2024

Mail Drafts

Tersedia untuk: macOS Sonoma

Dampak: Sembunyikan Email Saya mungkin tiba-tiba dinonaktifkan

Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2023-40408: Grzegorz Riegel

Maps

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.

CVE-2023-40405: Csaba Fitzl (@theevilbit) dari Offensive Security

MediaRemote

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.

CVE-2023-28826: Meng Zhang (鲸落) dari NorthSea

Entri ditambahkan pada 07 Maret 2024

Model I/O

Tersedia untuk: macOS Sonoma

Dampak: Memproses file dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-42856: Michael DePlante (@izobashi) dari Zero Day Initiative dari Trend Micro

Networking

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2023-40404: Tim Certik Skyfall

PackageKit

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t), dan Hevel Engineering

CVE-2023-42877: Arsenii Kostromin (0x3c3e)

Entri ditambahkan pada 16 Februari 2024

PackageKit

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-42840: Mickey Jin (@patch1t), dan Csaba Fitzl (@theevilbit) dari Offensive Security

Entri ditambahkan pada 16 Februari 2024

PackageKit

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-42853: Mickey Jin (@patch1t)

Entri ditambahkan pada 16 Februari 2024

PackageKit

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) dari FFRI Security, Inc.

Entri ditambahkan pada 16 Februari 2024

PackageKit

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat melewatkan preferensi Privasi tertentu

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-42889: Mickey Jin (@patch1t)

Entri ditambahkan pada 16 Februari 2024

Passkeys

Tersedia untuk: macOS Sonoma

Dampak: Penyerang mungkin dapat mengakses kunci sandi tanpa autentikasi

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-42847: peneliti anonim

Photos

Tersedia untuk: macOS Sonoma

Dampak: Foto di Album Foto Tersembunyi dapat dilihat tanpa perlu autentikasi

Deskripsi: Masalah autentikasi telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2023-42845: Bistrit Dahal

Entri diperbarui pada 16 Februari 2024

Pro Res

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu, dan Guang Gong dari 360 Vulnerability Research Institute

Pro Res

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-42873: Mingxuan Yang (@PPPF00L), serta happybabywu dan Guang Gong dari 360 Vulnerability Research Institute

Entri ditambahkan pada 16 Februari 2024

quarantine

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat menjalankan kode arbitrer di luar sandbox-nya atau dengan hak istimewa tertentu yang lebih tinggi

Deskripsi: Masalah akses telah diatasi dengan peningkatan sandbox.

CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), Csaba Fitzl (@theevilbit) dari Offensive Security

Entri ditambahkan pada 16 Februari 2024

RemoteViewServices

Tersedia untuk: macOS Sonoma

Dampak: Penyerang mungkin dapat mengakses data pengguna

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-42835: Mickey Jin (@patch1t)

Entri ditambahkan pada 16 Februari 2024

Safari

Tersedia untuk: macOS Sonoma

Dampak: Membuka situs web yang berbahaya dapat mengungkap riwayat penelusuran

Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.

CVE-2023-41977: Alex Renda

Safari

Tersedia untuk: macOS Sonoma

Dampak: Mengunjungi situs web perusak dapat mengakibatkan pemalsuan antarmuka pengguna

Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2023-42438: Rafay Baloch & Muhammad Samaak, dan peneliti anonim

Sandbox

Tersedia untuk: macOS Sonoma

Dampak: Penyerang mungkin dapat mengakses volume jaringan terhubung yang terpasang di direktori utama

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

Entri ditambahkan pada 16 Februari 2024

Sandbox

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Entri ditambahkan pada 16 Februari 2024

Share Sheet

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.

CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula dari SecuRing (wojciechregula.blog), dan Cristian Dinca dari “Tudor Vianu” National High School of Computer Science, Rumania

Entri ditambahkan pada 16 Februari 2024

Siri

Tersedia untuk: macOS Sonoma

Dampak: Penyerang dengan akses fisik mungkin dapat menggunakan Siri untuk mengakses data pengguna yang sensitif

Deskripsi: Masalah ini telah diatasi dengan membatasi pilihan yang ditawarkan pada perangkat terkunci.

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: Bistrit Dahal

Entri diperbarui pada 16 Februari 2024

Siri

Tersedia untuk: macOS Sonoma

Dampak: App dapat membocorkan informasi rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.

CVE-2023-42946

Entri ditambahkan pada 16 Februari 2024

SQLite

Tersedia untuk: macOS Sonoma

Dampak: Pengguna dari jarak jauh dapat menyebabkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-36191

Entri ditambahkan pada 16 Februari 2024

talagent

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2023-40421: Noah Roskin-Frazee dan Prof. J. (ZeroClicks.ai Lab)

Terminal

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-42842: peneliti anonim

Vim

Tersedia untuk: macOS Sonoma

Dampak: Memproses input yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2023-4733

CVE-2023-4734

CVE-2023-4735

CVE-2023-4736

CVE-2023-4738

CVE-2023-4750

CVE-2023-4751

CVE-2023-4752

CVE-2023-4781

Weather

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.

CVE-2023-41254: Cristian Dinca dari “Tudor Vianu” National High School of Computer Science, Rumania

WebKit

Tersedia untuk: macOS Sonoma

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee) dari Cross Republic

WebKit

Tersedia untuk: macOS Sonoma

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성 (Junsung Lee)

WebKit

Tersedia untuk: macOS Sonoma

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) dan Vitor Pedreira (@0xvhp_) dari Agile Information Security

Entri diperbarui pada 16 Februari 2024

WebKit

Tersedia untuk: macOS Sonoma

Dampak: Mengunjungi situs web berbahaya dapat menyebabkan pemalsuan bar alamat

Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.

WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)

Entri ditambahkan pada 16 Februari 2024

WebKit Process Model

Tersedia untuk: macOS Sonoma

Dampak: Pemrosesan konten web dapat menyebabkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

WebKit Bugzilla: 260757
CVE-2023-41983: 이준성 (Junsung Lee)

WindowServer

Tersedia untuk: macOS Sonoma

Dampak: Situs web mungkin dapat mengakses mikrofon tanpa indikator penggunaan mikrofon ditampilkan

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2023-41975: peneliti anonim

WindowServer

Tersedia untuk: macOS Sonoma

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-42858: peneliti anonim

Entri ditambahkan pada 16 Februari 2024

libarchive

Kami ingin mengucapkan terima kasih kepada Bahaa Naamneh atas bantuannya.

libxml2

Kami ingin mengucapkan terima kasih kepada OSS-Fuzz, Ned Williamson dari Google Project Zero atas bantuannya.

Login Window

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

man

Kami ingin mengucapkan terima kasih kepada Kirin (@Pwnrin) dan Roman Mishchenko atas bantuannya.

Entri diperbarui pada 16 Februari 2024

Power Manager

Kami ingin mengucapkan terima kasih kepada Xia0o0o0o (@Nyaaaaa_ovo) dari University of California, San Diego atas bantuannya.

Preview

Kami ingin mengucapkan terima kasih kepada Akshay Nagpal atas bantuannya.

Entri ditambahkan pada 16 Februari 2024

Reminders

Kami ingin mengucapkan terima kasih kepada Noah Roskin-Frazee dan Prof. J. (ZeroClicks.ai Lab) atas bantuannya.

Setup Assistant

Kami ingin mengucapkan terima kasih kepada Digvijay Sai Gujjarlapudi dan Kyle Andrews atas bantuannya.

Entri ditambahkan pada 24 April 2024

System Extensions

Kami ingin mengucapkan terima kasih kepada Jaron Bradley, Ferdous Saljooki, dan Austin Prueher dari Jamf Software atas bantuannya.

Entri ditambahkan pada 24 April 2024

WebKit

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.