Over de beveiligingsinhoud van macOS Ventura 13.6.1
In dit document wordt de beveiligingsinhoud van macOS Ventura 13.6.1 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
macOS Ventura 13.6.1
Releasedatum: 25 oktober 2023
CoreAnimation
Beschikbaar voor: macOS Ventura
Impact: een app kan een denial-of-service veroorzaken
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40449: Tomi Tokics (@tomitokics) van iTomsn0w
Core Recents
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: het probleem is verholpen door de logboekregistratie op te schonen
CVE-2023-42823
Toegevoegd op 16 februari 2024
FileProvider
Beschikbaar voor: macOS Ventura
Impact: een app kan een denial-of-service veroorzaken voor eindpuntbeveiligingsclients
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2023-42854: Noah Roskin-Frazee en Prof. J. (ZeroClicks.ai Lab)
Find My
Beschikbaar voor: macOS Ventura
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-40413: Adam M.
Foundation
Beschikbaar voor: macOS Ventura
Impact: een website kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens tijdens het afhandelen van symlinks
Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.
CVE-2023-42844: Ron Masas van BreakPoint.SH
Image Capture
Beschikbaar voor: macOS Ventura
Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
Beschikbaar voor: macOS Ventura
Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40416: JZ
ImageIO
Beschikbaar voor: macOS Ventura
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot heapbeschadiging
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2023-42848: JZ
Toegevoegd op 16 februari 2024
IOTextEncryptionFamily
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40423: een anonieme onderzoeker
iperf3
Beschikbaar voor: macOS Ventura
Impact: een externe gebruiker kan mogelijk het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-38403
Kernel
Beschikbaar voor: macOS Ventura
Impact: een aanvaller die het uitvoeren van kernelcode al heeft bereikt, kan kernelgeheugenbeperkingen omzeilen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-42849: Linus Henze van Pinauten GmbH (pinauten.de)
libc
Beschikbaar voor: macOS Ventura
Impact: het verwerken van kwaadwillig vervaardigde invoer kan leiden tot het uitvoeren van willekeurige code in door de gebruiker geïnstalleerde apps
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40446: inooo
Toegevoegd op 3 november 2023
libxpc
Beschikbaar voor: macOS Ventura
Impact: een kwaadaardige app kan mogelijk rootbevoegdheden verkrijgen
Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.
CVE-2023-42942: Mickey Jin (@patch1t)
Toegevoegd op 16 februari 2024
Model I/O
Beschikbaar voor: macOS Ventura
Impact: het verwerken van een bestand kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-42856: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative
PackageKit
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t), en Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Toegevoegd op 16 februari 2024
PackageKit
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-42840: Mickey Jin (@patch1t), en Csaba Fitzl (@theevilbit) van Offensive Security
Toegevoegd op 16 februari 2024
PackageKit
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-42889: Mickey Jin (@patch1t)
Toegevoegd op 16 februari 2024
PackageKit
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2023-42853: Mickey Jin (@patch1t)
Toegevoegd op 16 februari 2024
PackageKit
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) van FFRI Security, Inc.
Toegevoegd op 16 februari 2024
Passkeys
Beschikbaar voor: macOS Ventura
Impact: een aanvaller heeft mogelijk zonder validatie toegang tot passkeys
Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.
CVE-2023-40401: een anonieme onderzoeker en weize she
Pro Res
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu en Guang Gong van 360 Vulnerability Research Institute
Pro Res
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), en happybabywu en Guang Gong van 360 Vulnerability Research Institute
Toegevoegd op 16 februari 2024
SQLite
Beschikbaar voor: macOS Ventura
Impact: een externe gebruiker kan een denial-of-service veroorzaken
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2023-36191
Toegevoegd op 16 februari 2024
talagent
Beschikbaar voor: macOS Ventura
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.
CVE-2023-40421: Noah Roskin-Frazee en Prof. J. (ZeroClicks.ai Lab)
Weather
Beschikbaar voor: macOS Ventura
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-41254: Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Roemenië
WindowServer
Beschikbaar voor: macOS Ventura
Impact: een website heeft mogelijk toegang tot de microfoon zonder dat de indicator voor microfoongebruik wordt getoond
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2023-41975: een anonieme onderzoeker
WindowServer
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-42858: een anonieme onderzoeker
Toegevoegd op 16 februari 2024
Aanvullende erkenning
GPU Drivers
Met dank aan een anonieme onderzoeker voor de hulp.
libarchive
Met dank aan Bahaa Naamneh voor de hulp.
libxml2
Met dank aan OSS-Fuzz, en Ned Williamson van Google Project Zero voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.