Over de beveiligingsinhoud van macOS Sonoma 14,1

In dit document wordt de beveiligingsinhoud van macOS Sonoma 14,1 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Sonoma 14.1

Releasedatum: 25 oktober 2023

App Support

Beschikbaar voor: macOS Sonoma

Impact: het parsen van een bestand kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2023-30774

AppSandbox

Beschikbaar voor: macOS Sonoma

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een machtigingsprobleem met aanvullende beperkingen is verholpen.

CVE-2023-40444: Noah Roskin-Frazee en Prof. J. (ZeroClicks.ai Lab)

Contacts

Beschikbaar voor: macOS Sonoma

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-41072: Wojciech Regula van SecuRing (wojciechregula.blog) en Csaba Fitzl (@theevilbit) van Offensive Security

CVE-2023-42857: Noah Roskin-Frazee en Prof. J. (ZeroClicks.ai Lab)

CoreAnimation

Beschikbaar voor: macOS Sonoma

Impact: een app kan een denial-of-service veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40449: Tomi Tokics (@tomitokics) van iTomsn0w

Emoji

Beschikbaar voor: macOS Sonoma

Impact: een aanvaller kan een willekeurige code uitvoeren als root vanaf het vergrendelscherm

Het probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2023-41989: Jewel Lambert

FileProvider

Beschikbaar voor: macOS Sonoma

Impact: een app kan een denial-of-service veroorzaken voor eindpuntbeveiligingsclients

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2023-42854: Noah Roskin-Frazee en Prof. J. (ZeroClicks.ai Lab)

Find My

Beschikbaar voor: macOS Sonoma

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-40413: Adam M.

Foundation

Beschikbaar voor: macOS Sonoma

Impact: een website kan toegang krijgen tot vertrouwelijke gebruikersgegevens bij het oplossen van symlinks

Beschrijving: dit probleem is verholpen door een verbeterde verwerking van symlinks.

CVE-2023-42844: Ron Masas van BreakPoint.SH

ImageIO

Beschikbaar voor: macOS Sonoma

Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40416: JZ

IOTextEncryptionFamily

Beschikbaar voor: macOS Sonoma

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40423: een anonieme onderzoeker

iperf3

Beschikbaar voor: macOS Sonoma

Impact: een externe gebruiker kan het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-38403

Kernel

Beschikbaar voor: macOS Sonoma

Impact: een aanvaller die het uitvoeren van kernelcode al heeft bereikt, kan kernelgeheugenbeperkingen omzeilen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-42849: Linus Henze van Pinauten GmbH (pinauten.de)

LaunchServices

Beschikbaar voor: macOS Sonoma

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.

CVE-2023-42850: Thijs Alkemade (@xnyhps) van Computest Sector 7, Brian McNulty, Zhongquan Li

Login Window

Beschikbaar voor: macOS Sonoma

Impact: een aanvaller met kennis over de inloggegevens van een standaardgebruiker, kan het vergrendelde scherm van een andere standaardgebruiker ontgrendelen op dezelfde Mac

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser & CPU IT, inc, Matthew McLean, Steven Maser en Avalon IT-team van Concentrix

Mail Drafts

Beschikbaar voor: macOS Sonoma

Impact: Verberg mijn e-mail kan onverwachts worden gedeactiveerd

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2023-40408: Grzegorz Riegel

Maps

Beschikbaar voor: macOS Sonoma

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-40405: Csaba Fitzl (@theevilbit) van Offensive Security

Model I/O

Beschikbaar voor: macOS Sonoma

Impact: het verwerken van een bestand kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-42856: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

Networking

Beschikbaar voor: macOS Sonoma

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-40404: Certik Skyfall Team

Passkeys

Beschikbaar voor: macOS Sonoma

Impact: een aanvaller kan wachtwoordsleutels inzien zonder authenticatie

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2023-42847: een anonieme onderzoeker

Photos

Beschikbaar voor: macOS Sonoma

Impact: foto's in het album Verborgen foto's kunnen zonder authenticatie worden bekeken

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2023-42845: Bistrit Dahla

Pro Res

Beschikbaar voor: macOS Sonoma

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu en Guang Gong van het 360 Vulnerability Research Institute

Safari

Beschikbaar voor: macOS Sonoma

Impact: een bezoek aan een schadelijke website kan browsergeschiedenis openbaar maken

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-41977: Alex Renda

Safari

Beschikbaar voor: macOS Sonoma

Impact: een bezoek aan een kwaadaardige website kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2023-42438: Rafay Baloch & Muhammad Samaak, een anonieme onderzoeker

Siri

Beschikbaar voor: macOS Sonoma

Impact: een aanvaller zonder fysieke toegang kan Siri gebruiken om toegang te krijgen tot gevoelige gebruikersgegevens

Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2023-41982: Bistrit Dahla

CVE-2023-41997: Bistrit Dahla

CVE-2023-41988: Bistrit Dahla

talagent

Beschikbaar voor: macOS Sonoma

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een machtigingsprobleem met aanvullende beperkingen is verholpen.

CVE-2023-40421: Noah Roskin-Frazee en Prof. J. (ZeroClicks.ai Lab)

Terminal

Beschikbaar voor: macOS Sonoma

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-42842: een anonieme onderzoeker

Vim

Beschikbaar voor: macOS Sonoma

Impact: het verwerken van schadelijke invoer kan leiden tot het uitvoeren van code

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-4733

CVE-2023-4734

CVE-2023-4735

CVE-2023-4736

CVE-2023-4738

CVE-2023-4750

CVE-2023-4751

CVE-2023-4752

CVE-2023-4781

Weather

Beschikbaar voor: macOS Sonoma

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-41254: Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Romenië

WebKit

Beschikbaar voor: macOS Sonoma

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) van Cross Republic

WebKit

Beschikbaar voor: macOS Sonoma

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Beschikbaar voor: macOS Sonoma

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

WebKit Bugzilla: 260173
CVE-2023-42852: een anonieme onderzoeker

WebKit Process Model

Beschikbaar voor: macOS Sonoma

Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)

WindowServer

Beschikbaar voor: macOS Sonoma

Impact: een website heeft mogelijk toegang tot de microfoon zonder dat de indicator voor microfoongebruik wordt getoond

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2023-41975: een anonieme onderzoeker

Aanvullende erkenning

libarchive

Met dank aan Bahaa Naamneh voor de hulp.

libxml2

We willen OSS-Fuzz en Ned Williamson van Google Project Zero bedanken voor de hulp.

Login Window

Met dank aan een anonieme onderzoeker voor de hulp.

man

Met dank aan Kirin (@Pwnrin) voor de hulp.

Power Manager

Met dank aan Xia0o0o0o (@Nyaaaaa_ovo) van de University of California, San Diego voor de hulp.

Reminders

Met dank Noah Roskin-Frazee en professor J. (ZeroClicks.ai Lab) voor de hulp.

WebKit

Met dank aan een anonieme onderzoeker voor de hulp.

 

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: