Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
macOS Ventura 13.4
Releasedatum: 18 mei 2023
Accessibility
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
Beschikbaar voor: macOS Ventura
Impact: rechten en privacytoestemmingen die worden gegeven aan deze app, worden mogelijk gebruikt door een schadelijke app
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
Beschikbaar voor: macOS Ventura
Impact: een aanvaller kan mogelijk e-mails van gebruikersaccounts laten uitlekken
Beschrijving: een probleem met bevoegdheden is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke gegevens.
CVE-2023-34352: Sergii Kryvoblotskyi van MacPaw Inc.
Toegevoegd op 5 september 2023
AMD
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.
CVE-2023-32379: ABC Research s.r.o.
Toegevoegd op 5 september 2023
AppleMobileFileIntegrity
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk code injecteren in gevoelige binaire bestanden die gebundeld zijn met Xcode
Beschrijving: dit probleem is verholpen door op systeemniveau hardened runtime te forceren op de betrokken binaire bestanden.
CVE-2023-32383: James Duffy (mangoSecure)
Toegevoegd op 21 december 2023
Associated Domains
Beschikbaar voor: macOS Ventura
Impact: een app kan buiten zijn sandbox komen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-32371: James Duffy (mangoSecure)
Contacts
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk onbeveiligde gebruikersgegevens observeren
Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.
CVE-2023-32386: Kirin (@Pwnrin)
Core Location
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-32399: Adam M.
Bijgewerkt op 5 september 2023
CoreServices
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van gevoelige informatie.
CVE-2023-28191: Mickey Jin (@patch1t)
CUPS
Beschikbaar voor: macOS Ventura
Impact: een niet-geautoriseerde gebruiker kan mogelijk toegang krijgen tot onlangs afgedrukte documenten
Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.
CVE-2023-32360: Gerhard Muth
dcerpc
Beschikbaar voor: macOS Ventura
Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2023-32387: Dimitrios Tatsis van Cisco Talos
DesktopServices
Beschikbaar voor: macOS Ventura
Impact: een app kan buiten zijn sandbox komen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-32414: Mickey Jin (@patch1t)
Face Gallery
Beschikbaar voor: macOS Ventura
Impact: een aanvaller met fysieke toegang tot een vergrendelde Apple Watch kan mogelijk foto's van gebruikers of contactgegevens bekijken via toegankelijkheidsfuncties
Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.
CVE-2023-32417: Zitong Wu (吴梓桐) van Zhuhai No.1 High School (珠海市第一中学)
Toegevoegd op 5 september 2023
GeoServices
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-32392: Adam M.
Bijgewerkt op 5 september 2023
ImageIO
Beschikbaar voor: macOS Ventura
Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-32372: Meysam Firouzi @R00tkitSMM van Mbition Mercedes-Benz Innovation Lab in samenwerking met Trend Micro Zero Day Initiative
Bijgewerkt op 5 september 2023
ImageIO
Beschikbaar voor: macOS Ventura
Impact: het verwerken van een afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) in samenwerking met Trend Micro Zero Day Initiative
IOSurface
Beschikbaar voor: macOS Ventura
Impact: een app kan gevoelige kernelstatus vrijgeven
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
IOSurfaceAccelerator
Beschikbaar voor: macOS Ventura
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-32420: CertiK SkyFall Team en Linus Henze van Pinauten GmbH (pinauten.de)
Bijgewerkt op 5 september 2023
Kernel
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een type confusion-probleem is verholpen door verbeterde controles.
CVE-2023-27930: 08Tc3wBB van Jamf
Kernel
Beschikbaar voor: macOS Ventura
Impact: een app in een sandbox kan mogelijk systeembrede netwerkverbindingen observeren
Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2023-32398: Adam Doupé van ASU SEFCOM
Kernel
Beschikbaar voor: macOS Ventura
Impact: een app kan toegang krijgen tot rootbevoegdheden
Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) van Synacktiv (@Synacktiv) in samenwerking met Trend Micro Zero Day Initiative
LaunchServices
Beschikbaar voor: macOS Ventura
Impact: een app kan Gatekeeper-controles omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) van SecuRing (wojciechregula.blog)
libxml2
Beschikbaar voor: macOS Ventura
Impact: meerdere problemen in libxml2
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.
CVE-2023-29469: OSS-Fuzz, Ned Williamson van Google Project Zero
CVE-2023-42869: OSS-Fuzz, Ned Williamson van Google Project Zero
Toegevoegd op 21 december 2023
libxpc
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32369: Jonathan Bar Or van Microsoft, Anurag Bohra van Microsoft en Michael Pearse van Microsoft
libxpc
Beschikbaar voor: macOS Ventura
Impact: een app kan toegang krijgen tot rootbevoegdheden
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2023-32405: Thijs Alkemade (@xnyhps) van Computest Sector 7
MallocStackLogging
Beschikbaar voor: macOS Ventura
Impact: een app kan toegang krijgen tot rootbevoegdheden
Beschrijving: dit probleem is verholpen door verbeterd bestandsbeheer.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Toegevoegd op 5 september 2023
Metal
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Beschikbaar voor: macOS Ventura
Impact: het verwerken van een 3D-model kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-32368: Mickey Jin (@patch1t)
CVE-2023-32375: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative
CVE-2023-32382: Mickey Jin (@patch1t)
Model I/O
Beschikbaar voor: macOS Ventura
Impact: het verwerken van een 3D-model kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van gevoelige informatie.
CVE-2023-32403: Adam M.
Bijgewerkt op 5 september 2023
NSURLSession
Beschikbaar voor: macOS Ventura
Impact: een app kan buiten zijn sandbox komen
Beschrijving: het probleem is verholpen door verbeteringen aan het bestandsbeheerprotocol.
CVE-2023-32437: Thijs Alkemade van Computest Sector 7
Toegevoegd op 5 september 2023
PackageKit
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32355: Mickey Jin (@patch1t)
PDFKit
Beschikbaar voor: macOS Ventura
Impact: het openen van een pdf-bestand kan leiden tot onverwachte beëindiging van de app
Beschrijving: een denial of service-probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-32385: Jonathan Fritz
Perl
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Photos
Beschikbaar voor: macOS Ventura
Impact: foto's die deel uitmaken van het album met verborgen foto's konden zonder authenticatie worden bekeken via Visueel opzoeken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-32390: Julian Szulc
Quick Look
Beschikbaar voor: macOS Ventura
Impact: het parseren van een Office-document kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2023-32401: Holger Fuhrmannek van Deutsche Telekom Security GmbH namens BSI (Duitse overheidsinstelling voor informatiebeveiliging)
Toegevoegd op 21 december 2023
Sandbox
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang behouden tot bestanden voor systeemconfiguratie, zelfs nadat de toestemming is ingetrokken
Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa van FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) en Csaba Fitzl (@theevilbit) van Offensive Security
Screen Saver
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: een probleem met bevoegdheden is verholpen door de kwetsbare code te verwijderen en extra controles toe te voegen.
CVE-2023-32363: Mickey Jin (@patch1t)
Security
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.
CVE-2023-32367: James Duffy (mangoSecure)
Share Sheet
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.
CVE-2023-32432: Kirin (@Pwnrin)
Toegevoegd op 5 september 2023
Shell
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
Beschikbaar voor: macOS Ventura
Impact: een opdracht kan bij bepaalde acties gebruikmaken van gevoelige gegevens zonder dat de gebruiker om toestemming wordt gevraagd
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-32391: Wenchao Li en Xiaolong Bai van Alibaba Group
Shortcuts
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.
CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) van Tencent Security Xuanwu Lab (xlab.tencent.com) en een anonieme onderzoeker
Siri
Beschikbaar voor: macOS Ventura
Impact: iemand met fysieke toegang tot een apparaat zou contactgegevens kunnen bekijken via het toegangsscherm
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-32394: Khiem Tran
SQLite
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door aanvullende beperkingen voor SQLite-logboekregistratie toe te voegen.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) en Wojciech Reguła van SecuRing (wojciechregula.blog)
Bijgewerkt op 2 juni 2023
StorageKit
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
sudo
Beschikbaar voor: macOS Ventura
Impact: een app kan bevoegdheden verhogen
Beschrijving: dit probleem is verholpen door een update van sudo.
CVE-2023-22809
Toegevoegd op 5 september 2023
System Settings
Beschikbaar voor: macOS Ventura
Impact: de firewall-instelling van een app is mogelijk niet effectief na het sluiten van de Instellingen-app
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2023-28202: Satish Panduranga en een anonieme onderzoeker
Telephony
Beschikbaar voor: macOS Ventura
Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2023-32412: Ivan Fratric van Google Project Zero
TV App
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-32408: Adam M.
Weather
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van gevoelige informatie.
CVE-2023-32415: Wojciech Regula van SecuRing (wojciechregula.blog) en een anonieme onderzoeker
WebKit
Beschikbaar voor: macOS Ventura
Impact: het verwerken van webmateriaal kan leiden tot openbaarmaking van vertrouwelijke informatie
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)
Bijgewerkt op 21 december 2023
WebKit
Beschikbaar voor: macOS Ventura
Impact: het verwerken van webmateriaal kan leiden tot openbaarmaking van vertrouwelijke informatie
Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Beschikbaar voor: macOS Ventura
Impact: een externe aanvaller kan mogelijk de Webinhoud-sandbox doorbreken. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne van de Threat Analysis Group van Google en Donncha Ó Cearbhaill van het Security Lab van Amnesty International
WebKit
Beschikbaar voor: macOS Ventura
Impact: de verwerking van webinhoud kan mogelijk gevoelige gegevens onthullen. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
WebKit Bugzilla: 254930
CVE-2023-28204: een anonieme onderzoeker
Dit probleem is voor het eerst aangepakt in snelle beveiligingsmaatregelen voor macOS13.3.1 (a).
WebKit
Beschikbaar voor: macOS Ventura
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 254840
CVE-2023-32373: een anonieme onderzoeker
Dit probleem is voor het eerst aangepakt in snelle beveiligingsmaatregelen voor macOS13.3.1 (a).
Wi-Fi
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van gevoelige informatie.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.
Aanvullende erkenning
Accounts
Met dank aan Sergii Kryvoblotskyi van MacPaw Inc. voor de hulp.
CloudKit
Met dank aan Iconic voor de hulp.
Find My
Met dank aan Abhinav Thakur, Artem Starovoitov, Hodol K en een anonieme onderzoeker voor de hulp.
Toegevoegd op 21 december 2023
libxml2
Met dank aan OSS-Fuzz, en Ned Williamson van Google Project Zero voor de hulp.
Reminders
Met dank aan Kirin (@Pwnrin) voor de hulp.
Rosetta
Met dank aan Koh M. Nakagawa van FFRI Security, Inc. voor de hulp.
Safari
Met dank aan Khiem Tran (databaselog.com) voor de hulp.
Bijgewerkt op 21 december 2023
Security
Met dank aan Brandon Toms voor de hulp.
Share Sheet
Met dank aan Kirin (@Pwnrin) voor de hulp.
Wallet
Met dank aan James Duffy (mangoSecure) voor de hulp.
WebRTC
Met dank aan Dohyun Lee (@l33d0hyun) van PK Security en een anonieme onderzoeker voor de hulp.
Toegevoegd op 21 december 2023
Wi-Fi
Met dank aan Adam M. voor de hulp.
Bijgewerkt op 21 december 2023