Over de beveiligingsinhoud van macOS Sonoma 14

In dit document wordt de beveiligingsinhoud van macOS Sonoma 14 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Sonoma 14

Releasedatum: 26 september 2023

AirPort

Beschikbaar voor: Mac Studio (2022 en nieuwer), iMac (2019 en nieuwer), Mac Pro (2019 en nieuwer), Mac mini (2018 en nieuwer), MacBook Air (2018 en nieuwer), MacBook Pro (2018 en nieuwer) en iMac Pro (2017)

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een probleem met machtigingen is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke gegevens.

CVE-2023-40384: Adam M.

AMD

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.

CVE-2023-32377: ABC Research s.r.o.

AMD

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-38615: ABC Research s.r.o.

App Store

Impact: een externe aanvaller kan buiten de webmateriaal-sandbox komen

Beschrijving: het probleem is verholpen door verbeterde verwerking van protocollen.

CVE-2023-40448: w0wbox

Apple Neural Engine

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Bijgewerkt op 22 december 2023

Apple Neural Engine

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-40410: Tim Michaud (@TimGMichaud) van Moveworks.ai

AppleMobileFileIntegrity

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.

CVE-2023-42872: Mickey Jin (@patch1t)

Toegevoegd op 22 december 2023

AppSandbox

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-42929: Mickey Jin (@patch1t)

Toegevoegd op 22 december 2023

AppSandbox

Impact: een app kan mogelijk toegang krijgen tot bijlagen van Notities

Beschrijving: het probleem is verholpen door verbeterde beperking van gegevenscontainertoegang.

CVE-2023-42925: Wojciech Reguła (@_r3ggi) en Kirin (@Pwnrin)

Toegevoegd op 16 juli 2024

Ask to Buy

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-38612: Chris Ross (Zoom)

Toegevoegd op 22 december 2023

AuthKit

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-32361: Csaba Fitzl (@theevilbit) van Offensive Security

Bluetooth

Impact: een aanvaller in fysieke nabijheid kan een beperkte schrijfbewerking buiten bereik veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-35984: zer0k

Bluetooth

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Impact: het verwerken van een bestand kan leiden tot denial-of-service of mogelijk geheugeninhoud vrijgeven

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

Toegevoegd op 22 december 2023

bootp

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-41065: Adam M., Noah Roskin-Frazee en Professor Jason Lau (ZeroClicks.ai Lab)

Calendar

Impact: een app kan toegang krijgen tot agendagegevens die in een tijdelijke map zijn opgeslagen

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.

CVE-2023-29497: Kirin (@Pwnrin) en Yishu Wang

CFNetwork

Impact: een app dwingt mogelijk App Transport Security niet af

Beschrijving: het probleem is verholpen door verbeterde verwerking van protocollen.

CVE-2023-38596: Will Brattain van Trail of Bits

Klok

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-42943: Cristian Dinca van Tudor Vianu National High School of Computer Science, Roemenië

Toegevoegd op 16 juli 2024

ColorSync

Impact: een app kan mogelijk willekeurige bestanden lezen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-40406: JeongOhKyea van Theori

CoreAnimation

Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40420: 이준성(Junsung Lee) van Cross Republic

Core Data

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2023-40528: Kirin (@Pwnrin) van NorthSea

Toegevoegd op 22 januari 2024

Core Image

Impact: een app kan mogelijk toegang krijgen tot bewerkte foto's die zijn opgeslagen in een tijdelijke map

Beschrijving: een probleem is verholpen door verbeterde verwerking van tijdelijke bestanden.

CVE-2023-40438: Wojciech Regula van SecuRing (wojciechregula.blog)

Toegevoegd op 22 december 2023

CoreMedia

Impact: een camera-extensie kan mogelijk toegang krijgen tot de cameraweergave vanuit andere apps dan de app waarvoor toestemming is gegeven

Beschrijving: een logicaprobleem is verholpen door verbeterde controles

CVE-2023-41994: Halle Winkler, Politepix @hallewinkler

Toegevoegd op 22 december 2023

CUPS

Impact: een externe aanvaller kan een denial-of-service veroorzaken

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2023-40407: Sei K.

Dev Tools

Impact: een app kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

Bijgewerkt op 22 december 2023

FileProvider

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2023-41980: Noah Roskin-Frazee en Professor Jason Lau (ZeroClicks.ai Lab)

FileProvider

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2023-40411: Noah Roskin-Frazee en Prof. J. (ZeroClicks.ai Lab), en Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 22 december 2023

Game Center

Impact: een app kan mogelijk toegang krijgen tot contacten

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-40395: Csaba Fitzl (@theevilbit) van Offensive Security

GPU Drivers

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40391: Antonio Zekic (@antoniozekic) van Dataflow Security

GPU Drivers

Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service

Beschrijving: er is een probleem met overmatig gebruik van resources aangepakt door verbeterde invoervalidatie.

CVE-2023-40441: Ron Masas van Imperva

Graphics Drivers

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2023-42959: Murray Mike

Toegevoegd op 16 juli 2024

iCloud

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met machtigingen is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke gegevens.

CVE-2023-23495: Csaba Fitzl (@theevilbit) van Offensive Security

iCloud Photo Library

Impact: een app kan toegang krijgen tot de bibliotheek met foto's van een gebruiker

Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.

CVE-2023-40434: Mikko Kenttälä (@Turmio_) van SensorFu

Image Capture

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Impact: een aanvaller kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2023-40436: Murray Mike

IOUserEthernet

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40396: Certik Skyfall Team

Toegevoegd op 16 juli 2024

Kernel

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-41995: Certik Skyfall Team, en pattern-f (@pattern_F_) van Ant Security Light-Year Lab

CVE-2023-42870: Zweig van Kunlun Lab

Bijgewerkt op 22 december 2023

Kernel

Impact: een aanvaller die het uitvoeren van kernelcode al heeft bereikt, kan kernelgeheugenbeperkingen omzeilen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-41981: Linus Henze van Pinauten GmbH (pinauten.de)

Kernel

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.

Kernel

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een bevoegdhedenprobleem is verholpen door verbeterde validatie.

CVE-2023-40429: Michael (Biscuit) Thomas en 张师傅(@京东蓝军)

Kernel

Impact: een externe gebruiker kan het uitvoeren van kernelcode veroorzaken

Beschrijving: een type confusion-probleem is verholpen door verbeterde controles.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) van MIT CSAIL

Toegevoegd op 22 december 2023

LaunchServices

Impact: een app kan Gatekeeper-controles omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo) van Jamf Software en een anonieme onderzoeker

libpcap

Impact: een externe gebruiker kan het onverwacht beëindigen van de app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2023-40400: Sei K.

libxpc

Impact: een app kan mogelijk bestanden verwijderen waarvoor deze geen bevoegdheid heeft

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2023-40454: Zhipeng Huo (@R3dF09) van Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-41073: Zhipeng Huo (@R3dF09) van Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Impact: het verwerken van webmateriaal kan leiden tot openbaarmaking van vertrouwelijke informatie

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) van PK Security

Maps

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-40427: Adam M. en Wojciech Regula van SecuRing (wojciechregula.blog)

Maps

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2023-42957: Adam M. en Ron Masas van BreakPoint Security Research

Toegevoegd op 16 juli 2024

Messages

Impact: een app kan onbeveiligde gebruikersgegevens observeren

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.

CVE-2023-32421: Meng Zhang (鲸落) van NorthSea, Ron Masas van BreakPoint Security Research, Brian McNulty, en Kishan Bagaria van Texts.com

Model I/O

Impact: het verwerken van een bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-42826: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

Toegevoegd op 19 oktober 2023

Model I/O

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2023-42918: Mickey Jin (@patch1t)

Toegevoegd op 16 juli 2024

Music

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2023-40455: Zhipeng Huo (@R3dF09) van het Tencent Security Xuanwu Lab (xlab.tencent.com)

Notes

Impact: een app kan mogelijk toegang krijgen tot bijlagen van Notities

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Impact: er is een kwetsbaarheid ontdekt in extern doorsturen in OpenSSHs

Beschrijving: dit probleem is verholpen door een update van OpenSSH naar 9.3p2

CVE-2023-38408: baba yaga, een anonieme onderzoeker

Toegevoegd op 22 december 2023

Passkeys

Impact: een aanvaller heeft mogelijk zonder validatie toegang tot passkeys

Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.

CVE-2023-40401: weize she en een anonieme onderzoeker

Toegevoegd op 22 december 2023

Photos

Impact: foto's in het album 'Verborgen' kunnen mogelijk zonder validatie worden bekeken

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2023-40393: een anonieme onderzoeker, Berke Kırbaş en Harsh Jaiswal

Toegevoegd op 22 december 2023

Photos

Impact: een app kan mogelijk toegang krijgen tot bewerkte foto's die zijn opgeslagen in een tijdelijke map

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2023-42949: Kirin (@Pwnrin)

Toegevoegd op 16 juli 2024

Photos Storage

Impact: een app met rootbevoegdheden kan mogelijk toegang verkrijgen tot privégegevens

Beschrijving: een probleem met vrijgave van gegevens is opgelost door de kwetsbare code te verwijderen.

CVE-2023-42934: Wojciech Regula van SecuRing (wojciechregula.blog)

Toegevoegd op 22 december 2023

Power Management

Impact: een gebruiker kan mogelijk beperkte inhoud bekijken via het toegangsscherm

Beschrijving: een probleem met het toegangsscherm is verholpen door een verbeterd statusbeheer.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor en Sina Ahmadi van George Mason University en Billy Tabrizi

Bijgewerkt op 22 december 2023

Printing

Impact: een app kan mogelijk printerinstellingen aanpassen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Toegevoegd op 22 december 2023

Printing

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2023-41987: Kirin (@Pwnrin) en Wojciech Regula van SecuRing (wojciechregula.blog)

Toegevoegd op 22 december 2023

Pro Res

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Impact: een app kan een denial-of-service veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40422: Tomi Tokics (@tomitokics) van iTomsn0w

Safari

Impact: het verwerken van webmateriaal kan leiden tot openbaarmaking van vertrouwelijke informatie

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Impact: Safari kan foto's op een onbeveiligde locatie bewaren

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Impact: een app kan mogelijk identificeren welke andere apps een gebruiker heeft geïnstalleerd

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-35990: Adriatik Raci of Sentry Cybersecurity

Safari

Impact: een bezoek aan een website met kwaadaardige inhoud kan leiden tot het vervalsen van de gebruikersinterface

Beschrijving: een probleem met vensterbeheer is verholpen door verbeterd statusbeheer.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) van Suma Soft Pvt. Ltd, Pune (India)

Bijgewerkt op 22 december 2023

Sandbox

Impact: een app kan mogelijk willekeurige bestanden overschrijven

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Impact: een app kan mogelijk toegang krijgen tot verwijderbare volumes zonder toestemming van de gebruiker

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Toegevoegd op 22 december 2023

Sandbox

Impact: apps waarvoor de verificatiecontroles mislukken, worden mogelijk toch gestart

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-41996: Mickey Jin (@patch1t) en Yiğit Can YILMAZ (@yilmazcanyigit)

Toegevoegd op 22 december 2023

Screen Sharing

Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-41078: Zhipeng Huo (@R3dF09) van het Tencent Security Xuanwu Lab (xlab.tencent.com)

Share Sheet

Impact: een app kan mogelijk gevoelige gegevens openen die geregistreerd worden wanneer een gebruiker een link deelt

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Impact: een opdracht kan mogelijk zonder toestemming gevoelige gebruikersgegevens vrijgeven

Beschrijving: dit probleem is verholpen door een extra melding toe te voegen waarin de gebruiker om toestemming gevraagd wordt.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) en James Duffy (mangoSecure)

Shortcuts

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.

CVE-2023-41079: Ron Masas van BreakPoint.sh en een anonieme onderzoeker

Spotlight

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

Toegevoegd op 22 december 2023

StorageKit

Impact: een app kan mogelijk willekeurige bestanden lezen

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2023-41968: Mickey Jin (@patch1t) en James Hutchins

System Preferences

Impact: een app kan Gatekeeper-controles omzeilen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-40450: Thijs Alkemade (@xnyhps) van Computest Sector 7

System Settings

Impact: een wifiwachtwoord wordt mogelijk niet verwijderd bij het activeren van een Mac in macOS-herstel

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2023-42948: Andrew Haggard

Toegevoegd op 16 juli 2024

TCC

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33), en Csaba Fitzl (@theevilbit) van Offensive Security

WebKit

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 249451

CVE-2023-39434: Francisco Alonso (@revskills), en Dohyun Lee (@l33d0hyun) van PK Security

WebKit Bugzilla: 258992

CVE-2023-40414: Francisco Alonso (@revskills)

Bijgewerkt op 22 december 2023

WebKit

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 256551

CVE-2023-41074: 이준성(Junsung Lee) van Cross Republic en Jie Ding (@Lime) van HKUS3 Lab

Bijgewerkt op 22 december 2023

WebKit

Impact: het verwerken van webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 239758

CVE-2023-35074: Ajou University Abysslab Dong Jun Kim (@smlijun) en Jong Seong Kim (@nevul37)

Bijgewerkt op 22 december 2023

WebKit

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem in versies van iOS vóór iOS 16.7.

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 261544

CVE-2023-41993: Bill Marczak van The Citizen Lab aan The University of Toronto's Munk School en Maddie Stone van Google's Threat Analysis Group

WebKit

Impact: het wachtwoord van een gebruiker kan hardop worden voorgelezen door VoiceOver

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

WebKit Bugzilla: 248717

CVE-2023-32359: Claire Houston

Toegevoegd op 22 december 2023

WebKit

Impact: een externe aanvaller kan mogelijk gelekte DNS-queries bekijken met Privédoorgifte ingeschakeld

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

WebKit Bugzilla: 257303

CVE-2023-40385: anoniem

Toegevoegd op 22 december 2023

WebKit

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een correctheidsprobleem is verholpen door verbeterde controles.

WebKit Bugzilla: 258592

CVE-2023-42833: Dong Jun Kim (@smlijun) en Jong Seong Kim (@nevul37) van AbyssLab

Toegevoegd op 22 december 2023

Wi-Fi

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: een probleem met geheugenbeschadiging is opgelost door de kwetsbare code te verwijderen.

CVE-2023-38610: Wang Yu van Cyberserval

Toegevoegd op 22 december 2023

Windows Server

Impact: een app kan onverwacht de inloggegevens van een gebruiker uit beveiligde tekstvelden lekken

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2023-41066: een anonieme onderzoeker, Jeremy Legendre van MacEnhance en Felix Kratz

Bijgewerkt op 22 december 2023

XProtectFramework

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een racevoorwaarde is verholpen door verbeterde vergrendeling.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Aanvullende erkenning

AirPort

Met dank aan Adam M., Noah Roskin-Frazee en professor Jason Lau (ZeroClicks.ai Lab) voor de hulp.

AppKit

Met dank aan een anonieme onderzoeker voor de hulp.

Apple Neural Engine

Met dank aan pattern-f (@pattern_F_) van Ant Security Light-Year Lab voor de hulp.

Toegevoegd op 22 december 2023

AppSandbox

Met dank aan Kirin (@Pwnrin) voor de hulp.

Archive Utility

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Audio

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Bluetooth

Met dank aan Jianjun Dai en Guang Gong van 360 Vulnerability Research Institute voor de hulp.

Books

Met dank aan Aapo Oksman van Nixu Cybersecurity voor de hulp.

Toegevoegd op 22 december 2023

Control Center

Met dank aan Yiğit Can YILMAZ (@yilmazcanyigit) voor de hulp.

Toegevoegd op 22 december 2023

Core Location

Met dank aan Wouter Hennen voor de hulp.

CoreMedia Playback

Met dank aan Mickey Jin (@patch1t) voor de hulp.

CoreServices

Met dank aan Thijs Alkemade van Computest Sector 7, Wojciech Reguła (@_r3ggi) van SecuRing en een anonieme onderzoeker voor de hulp.

Toegevoegd op 22 december 2023

Data Detectors UI

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal voor de hulp.

Find My

Met dank aan Cher Scarlett voor de hulp.

Home

Met dank aan Jake Derouin (jakederouin.com) voor de hulp.

IOGraphics

Met dank aan een anonieme onderzoeker voor de hulp.

IOUserEthernet

Met dank aan Certik Skyfall Team voor de hulp.

Toegevoegd op 22 december 2023

Kernel

Met dank aan Bill Marczak van The Citizen Lab bij de Munk School van de universiteit van Toronto, Maddie Stone van Googles Threat Analysis Group, Xinru Chi van Pangu Lab en 永超王 voor de hulp.

libxml2

Met dank aan OSS-Fuzz, en Ned Williamson van Google Project Zero voor de hulp.

libxpc

Met dank aan een anonieme onderzoeker voor de hulp.

libxslt

Met dank aan Dohyun Lee (@l33d0hyun) van PK Security, OSS-Fuzz en Ned Williamson van Google Project Zero voor de hulp.

Mail

Met dank aan Taavi Eomäe van Zone Media OÜ voor de hulp.

Toegevoegd op 22 december 2023

Menus

Met dank aan Matthew Denton van Google Chrome Security voor de hulp.

Toegevoegd op 22 december 2023

NSURL

Met dank aan Zhanpeng Zhao (行之) en 糖豆爸爸 (@晴天组织) voor de hulp.

PackageKit

Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security en een anonieme onderzoeker voor de hulp.

Photos

Met dank aan Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius en Paul Lurin voor de hulp.

Bijgewerkt op donderdag 16 juli 2024

Power Services

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Toegevoegd op 22 december 2023

Reminders

Met dank aan Paweł Szafirowski voor de hulp.

Safari

Met dank aan Kang Ali van Punggawa Cyber Security voor de hulp.

Sandbox

Met dank aan Yiğit Can YILMAZ (@yilmazcanyigit) voor de hulp.

SharedFileList

Met dank aan Christopher Lopez - @L0Psec en Kandji, Leo Pitt van Zoom Video Communications, Masahiro Kawada (@kawakatz) van GMO Cybersecurity by Ierae en Ross Bingham (@PwnDexter) voor de hulp.

Bijgewerkt op 22 december 2023

Shortcuts

Met dank aan Alfie CG, Christian Basting van Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Roemenië, Giorgos Christodoulidis, Jubaer Alnazi van TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) en Matthew Butler voor de hulp.

Bijgewerkt op 24 april 2024

Software Update

Met dank aan Omar Siman voor de hulp.

Spotlight

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal, Dawid Pałuska voor de hulp.

StorageKit

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Video Apps

Met dank aan James Duffy (mangoSecure) voor de hulp.

WebKit

Met dank aan Khiem Tran, Narendra Bhati van Suma Soft Pvt. Ltd, Pune (India) en een anonieme onderzoeker voor de hulp.

WebRTC

Met dank aan een anonieme onderzoeker voor de hulp.

Wi-Fi

Met dank aan Adam M. en Wang Yu van Cyberserval voor de hulp.

Bijgewerkt op 22 december 2023

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: augustus 19, 2024