macOS Ventura 13.2 のセキュリティコンテンツについて

macOS Ventura 13.2 のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最近のリリースについては、「Apple セキュリティアップデート」ページに一覧形式でまとめています。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。

macOS Ventura 13.2

2023 年 1 月 23 日リリース

AppleMobileFileIntegrity

対象 OS:macOS Ventura

影響:App がプライバシーの環境設定を回避する可能性がある。

説明:チェックを強化し、不正な処理を防止することで、この問題に対処しました。

CVE-2023-32438:Offensive Security の Csaba Fitzl 氏 (@theevilbit)、Mickey Jin 氏 (@patch1t)

2023 年 9 月 5 日に追加

AppleMobileFileIntegrity

対象 OS:macOS Ventura

影響:App が重要なユーザデータにアクセスできる可能性がある。

説明:Hardened Runtime を有効にして、この問題に対処しました。

CVE-2023-23499:SecuRing の Wojciech Reguła 氏 (@_r3ggi) (wojciechregula.blog)

Crash Reporter

対象 OS:macOS Ventura

影響:ユーザがルートとして任意のファイルを読み込める可能性がある。

説明:検証を追加することで、競合状態に対処しました。

CVE-2023-23520:Cees Elzinga 氏

2023 年 2 月 20 日に追加

curl

対象 OS:macOS Ventura

影響:curl に複数の脆弱性がある。

説明:curl をバージョン 7.86.0 にアップデートして、複数の脆弱性に対処しました。

CVE-2022-42915

CVE-2022-42916

CVE-2022-32221

CVE-2022-35260

dcerpc

対象 OS:macOS Ventura

影響:悪意を持って作成された Samba ネットワーク共有をマウントすると、任意のコードを実行される可能性がある。

説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。

CVE-2023-23539:Cisco Talos の Aleksandar Nikolic 氏および Dimitrios Tatsis 氏

CVE-2023-23513:Cisco Talos の Dimitrios Tatsis 氏および Aleksandar Nikolic 氏

2023 年 5 月 1 日に更新

DiskArbitration

対象 OS:macOS Ventura

影響:暗号化されたボリュームが、別のユーザによってマウント解除され、再マウントされる場合があり、その際にパスワードの入力画面が表示されない。

説明:ステート管理を改善し、ロジックの問題に対処しました。

CVE-2023-23493:KLIXX GmbH (klixx.com) の Oliver Norpoth 氏 (@norpoth)

FontParser

対象 OS:macOS Ventura

影響:フォントファイルを処理すると、任意のコードが実行される可能性がある。Apple では、iOS 15.7.1 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。

説明:キャッシュの処理を改善することで、この問題に対処しました。

CVE-2023-41990:Apple

2023 年 9 月 8 日に追加

Foundation

対象 OS:macOS Ventura

影響:App がサンドボックスの外部で、または昇格した特定の権限で任意のコードを実行できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23530:Austin Emmitt 氏 (@alkalinesec)、Trellix Advanced Research Center の Senior Security Researcher

2023 年 2 月 20 日に追加、2023 年 5 月 1 日に更新

Foundation

対象 OS:macOS Ventura

影響:App がサンドボックスの外部で、または昇格した特定の権限で任意のコードを実行できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23531:Austin Emmitt 氏 (@alkalinesec)、Trellix Advanced Research Center の Senior Security Researcher

2023 年 2 月 20 日に追加、2023 年 5 月 1 日に更新

ImageIO

対象 OS:macOS Ventura

影響:画像を処理すると、サービス運用妨害を受ける可能性がある。

説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。

CVE-2023-23519:Mbition Mercedes-Benz Innovation Lab の Meysam Firouzi 氏 (@R00tkitSMM)、Yiğit Can YILMAZ 氏 (@yilmazcanyigit)、Trend Micro Zero Day Initiative に協力する jzhu 氏

2023 年 9 月 5 日に更新

Intel Graphics Driver

対象 OS:macOS Ventura

影響:App がカーネル権限で任意のコードを実行できる可能性がある。

説明:配列境界チェック機能を改善することで、この問題に対処しました。

CVE-2023-23507:匿名の研究者

Kernel

対象 OS:macOS Ventura

影響:App がカーネル権限で任意のコードを実行できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23516:Jordy Zomer 氏 (@pwningsystems)

2023 年 5 月 1 日に追加

Kernel

対象 OS:macOS Ventura

影響:App が重要なカーネル状態を漏洩させる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23500:STAR Labs SG Pte. Ltd. (@starlabs_sg) の Pan ZhenPeng 氏 (@Peterpan0927)

Kernel

対象 OS:macOS Ventura

影響:App がカーネルメモリのレイアウトを判断できる可能性がある。

説明:脆弱なコードを削除することで、情報漏洩の脆弱性に対処しました。

CVE-2023-23502:STAR Labs SG Pte. Ltd. (@starlabs_sg) の Pan ZhenPeng 氏 (@Peterpan0927)

Kernel

対象 OS:macOS Ventura

影響:App がカーネル権限で任意のコードを実行できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23504:ASU SEFCOM の Adam Doupé 氏

libxpc

対象 OS:macOS Ventura

影響:App が重要なユーザデータにアクセスできる可能性がある。

説明:検証を改良し、アクセス許可の脆弱性に対処しました。

CVE-2023-23506:Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes)

Mail Drafts

対象 OS:macOS Ventura

影響:Exchange アカウントからのメールを転送する際に、引用した転送元メッセージが間違ったメールから選択される場合がある。

説明:ステート管理を改善し、ロジックの問題に対処しました。

CVE-2023-23498:Jose Lizandro Luevano 氏

2023 年 5 月 1 日に更新

Maps

対象 OS:macOS Ventura

影響:App がプライバシーの環境設定を回避する可能性がある。

説明:ステート管理を改善し、ロジックの問題に対処しました。

CVE-2023-23503:匿名の研究者

Messages

対象 OS:macOS Ventura

影響:連絡先で主回線の eSIM を使うように設定されているにもかかわらず、ユーザが副回線の eSIM からテキストを送信する可能性がある。

説明:ステート管理を改善し、ロジックの問題に対処しました。

CVE-2023-28208:freshman 氏

2023 年 9 月 5 日に追加

PackageKit

対象 OS:macOS Ventura

影響:App がルート権限を取得できる可能性がある。

説明:ステート管理を改善し、ロジックの問題に対処しました。

CVE-2023-23497:Mickey Jin 氏 (@patch1t)

Safari

対象 OS:macOS Ventura

影響:App がユーザの Safari の履歴にアクセスできる可能性がある。

説明:検証を改良し、アクセス許可の脆弱性に対処しました。

CVE-2023-23510:Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes)

Safari

対象 OS:macOS Ventura

影響:Web ページを閲覧すると、App のサービス運用妨害につながる可能性がある。

説明:キャッシュの処理を改善することで、この問題に対処しました。

CVE-2023-23512:Adriatik Raci 氏

Screen Time

対象 OS:macOS Ventura

影響:App がユーザの連絡先に関する情報にアクセスできる可能性がある。

説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2023-23505:SecuRing の Wojciech Reguła 氏 (wojciechregula.blog)、Offensive Security の Csaba Fitzl 氏 (@theevilbit)

2023 年 5 月 1 日に更新

Vim

対象 OS:macOS Ventura

影響:Vim に複数の脆弱性がある。

説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。

CVE-2022-3705

Weather

対象 OS:macOS Ventura

影響:App がプライバシーの環境設定を回避する可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23511:SecuRing の Wojciech Regula 氏 (wojciechregula.blog)、匿名の研究者

WebKit

対象 OS:macOS Ventura

影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

WebKit Bugzilla:248885

CVE-2023-32393:Francisco Alonso 氏 (@revskills)

2023 年 6 月 28 日に追加

WebKit

対象 OS:macOS Ventura

影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。

説明:チェックを強化することで、この問題に対処しました。

WebKit Bugzilla:245464

CVE-2023-23496:中国科学院計算技術研究所 (Institute of Computing Technology, Chinese Academy of Sciences) の ChengGang Wu 氏、Yan Kang 氏、YuHao Hu 氏、Yue Sun 氏、Jiming Wang 氏、JiKai Ren 氏、および Hang Shu 氏

WebKit

対象 OS:macOS Ventura

影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

WebKit Bugzilla:248268

CVE-2023-23518:YeongHyeon Choi 氏 (@hyeon101010)、Hyeon Park 氏 (@tree_segment)、SeOk JEON 氏 (@_seokjeon)、YoungSung Ahn 氏 (@_ZeroSung)、JunSeo Bae 氏 (@snakebjs0107)、Team ApplePIE の Dohyun Lee 氏 (@l33d0hyun)

WebKit Bugzilla:248268

CVE-2023-23517:YeongHyeon Choi 氏 (@hyeon101010)、Hyeon Park 氏 (@tree_segment)、SeOk JEON 氏 (@_seokjeon)、YoungSung Ahn 氏 (@_ZeroSung)、JunSeo Bae 氏 (@snakebjs0107)、Team ApplePIE の Dohyun Lee 氏 (@l33d0hyun)

Wi-Fi

対象 OS:macOS Ventura

影響:App がカーネルメモリを漏洩させる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23501:STAR Labs SG Pte. Ltd. (@starlabs_sg) の Pan ZhenPeng 氏 (@Peterpan0927)

Windows Installer

対象 OS:macOS Ventura

影響:App がプライバシーの環境設定を回避する可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23508:Mickey Jin 氏 (@patch1t)

WebKit

対象 OS:macOS Ventura

影響:HTML 文書が、重要なユーザ情報を使った iframe をレンダリングできる可能性がある。

説明:この問題は、iframe のサンドボックスの適用を改善することで解決されました。

WebKit Bugzilla:241753

CVE-2022-0108:Luan Herrera 氏 (@lbherrera_)

2023 年 5 月 1 日に追加

ご協力いただいたその他の方々

AppleMobileFileIntegrity

Offensive Security の Csaba Fitzl 氏 (@theevilbit) のご協力に感謝いたします。

2023 年 5 月 1 日に追加

Bluetooth

匿名の研究者のご協力に感謝いたします。

Core Data

Austin Emmitt 氏 (@alkalinesec)、Trellix Advanced Research Center の Senior Security Researcher のご協力に感謝いたします。

2023 年 9 月 8 日に追加

Kernel

Replicate の Nick Stenning 氏のご協力に感謝いたします。

Shortcuts

ReconWithMe の Baibhav Anand Jha 氏、Tudor Vianu National High School of Computer Science (ルーマニア) の Cristian Dinca 氏のご協力に感謝いたします。

WebKit

Confiant の Eliya Stein 氏のご協力に感謝いたします。

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: