macOS Ventura 13.6.1 のセキュリティコンテンツについて

macOS Ventura 13.6.1 のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。

macOS Ventura 13.6.1

CoreAnimation

対象 OS：macOS Ventura

影響：アプリからサービス運用妨害を受ける可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2023-40449：iTomsn0w の Tomi Tokics 氏 (@tomitokics)

FileProvider

対象 OS：macOS Ventura

影響：アプリがエンドポイントセキュリティクライアントに対するサービス運用妨害を引き起こす可能性がある。

説明：この問題は、脆弱なコードを削除することで解決されました。

CVE-2023-42854：Noah Roskin-Frazee 氏および Prof. J. 氏 (ZeroClicks.ai Lab)

Find My

対象 OS：macOS Ventura

影響：アプリが重要な位置情報を読み取れる可能性がある。

説明：キャッシュの処理を改善することで、この問題に対処しました。

CVE-2023-40413：Adam M 氏

Foundation

対象 OS：macOS Ventura

影響：Web サイトがシンボリックリンクの解決時に機微なユーザデータにアクセスできる可能性がある。

説明：シンボリックリンクの処理を改善することで、この問題に対処しました。

CVE-2023-42844：BreakPoint.SH の Ron Masas 氏

libc

対象 OS：macOS Ventura

影響：悪意を持って作成された入力を処理すると、ユーザがインストールしたアプリで任意のコードが実行される可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2023-40446：inooo 氏

Image Capture

対象 OS：macOS Ventura

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2023-41077：Mickey Jin 氏 (@patch1t)

ImageIO

対象 OS：macOS Ventura

影響：画像を処理すると、プロセスメモリが漏洩する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2023-40416：JZ 氏

IOTextEncryptionFamily

対象 OS：macOS Ventura

影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2023-40423：匿名の研究者

iperf3

対象 OS：macOS Ventura

影響：リモートユーザによって、アプリが突然終了されたり、任意のコードが実行されたりする可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2023-38403

Kernel

対象 OS：macOS Ventura

影響：カーネルコードの実行をやり遂げた攻撃者が、カーネルメモリの軽減策を回避できる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2023-42849：Pinauten GmbH (pinauten.de) の Linus Henze 氏

Model I/O

対象 OS：macOS Ventura

影響：ファイルを処理すると、アプリが予期せず終了したり、任意のコードが実行される可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2023-42856：Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi)

Passkeys

対象 OS：macOS Ventura

影響：攻撃者が認証なしでパスキーにアクセスできる可能性がある。

説明：アクセス権のチェックを追加で設けることで、この問題に対処しました。

CVE-2023-40401：匿名の研究者、weize she 氏

Pro Res

対象 OS：macOS Ventura

影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2023-42841：Mingxuan Yang 氏 (@PPPF00L)、happybabywu 氏、360 Vulnerability Research Institute の Guang Gong 氏

talagent

対象 OS：macOS Ventura

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2023-40421：Noah Roskin-Frazee 氏および Prof. J. 氏 (ZeroClicks.ai Lab)

Weather

対象 OS：macOS Ventura

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2023-41254：Tudor Vianu National High School of Computer Science (ルーマニア) の Cristian Dinca 氏

WindowServer

対象 OS：macOS Ventura

影響：Web サイトが、マイクの使用インジケータを画面に表示させずに、マイクにアクセスできる可能性がある。

説明：この問題は、脆弱なコードを削除することで解決されました。

CVE-2023-41975：匿名の研究者

ご協力いただいたその他の方々

GPU Drivers

匿名の研究者のご協力に感謝いたします。

libarchive

Bahaa Naamneh 氏のご協力に感謝いたします。

libxml2

OSS-Fuzz、Google Project Zero の Ned Williamson 氏のご協力に感謝いたします。