Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Sonoma 14.1
Releasedatum: 25 oktober 2023
App Support
Beschikbaar voor: macOS Sonoma
Impact: het parsen van een bestand kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2023-30774
AppSandbox
Beschikbaar voor: macOS Sonoma
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een machtigingsprobleem met aanvullende beperkingen is verholpen.
CVE-2023-40444: Noah Roskin-Frazee en Prof. J. (ZeroClicks.ai Lab)
Contacts
Beschikbaar voor: macOS Sonoma
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-41072: Wojciech Regula van SecuRing (wojciechregula.blog) en Csaba Fitzl (@theevilbit) van Offensive Security
CVE-2023-42857: Noah Roskin-Frazee en Prof. J. (ZeroClicks.ai Lab)
CoreAnimation
Beschikbaar voor: macOS Sonoma
Impact: een app kan een denial-of-service veroorzaken
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40449: Tomi Tokics (@tomitokics) van iTomsn0w
Emoji
Beschikbaar voor: macOS Sonoma
Impact: een aanvaller kan een willekeurige code uitvoeren als root vanaf het vergrendelscherm
Het probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.
CVE-2023-41989: Jewel Lambert
FileProvider
Beschikbaar voor: macOS Sonoma
Impact: een app kan een denial-of-service veroorzaken voor eindpuntbeveiligingsclients
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2023-42854: Noah Roskin-Frazee en Prof. J. (ZeroClicks.ai Lab)
Find My
Beschikbaar voor: macOS Sonoma
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-40413: Adam M.
Foundation
Beschikbaar voor: macOS Sonoma
Impact: een website kan toegang krijgen tot vertrouwelijke gebruikersgegevens bij het oplossen van symlinks
Beschrijving: dit probleem is verholpen door een verbeterde verwerking van symlinks.
CVE-2023-42844: Ron Masas van BreakPoint.SH
ImageIO
Beschikbaar voor: macOS Sonoma
Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Beschikbaar voor: macOS Sonoma
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40423: een anonieme onderzoeker
iperf3
Beschikbaar voor: macOS Sonoma
Impact: een externe gebruiker kan het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-38403
Kernel
Beschikbaar voor: macOS Sonoma
Impact: een aanvaller die het uitvoeren van kernelcode al heeft bereikt, kan kernelgeheugenbeperkingen omzeilen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-42849: Linus Henze van Pinauten GmbH (pinauten.de)
LaunchServices
Beschikbaar voor: macOS Sonoma
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.
CVE-2023-42850: Thijs Alkemade (@xnyhps) van Computest Sector 7, Brian McNulty, Zhongquan Li
Login Window
Beschikbaar voor: macOS Sonoma
Impact: een aanvaller met kennis over de inloggegevens van een standaardgebruiker, kan het vergrendelde scherm van een andere standaardgebruiker ontgrendelen op dezelfde Mac
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser & CPU IT, inc, Matthew McLean, Steven Maser en Avalon IT-team van Concentrix
Mail Drafts
Beschikbaar voor: macOS Sonoma
Impact: Verberg mijn e-mail kan onverwachts worden gedeactiveerd
Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.
CVE-2023-40408: Grzegorz Riegel
Maps
Beschikbaar voor: macOS Sonoma
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-40405: Csaba Fitzl (@theevilbit) van Offensive Security
Model I/O
Beschikbaar voor: macOS Sonoma
Impact: het verwerken van een bestand kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-42856: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative
Networking
Beschikbaar voor: macOS Sonoma
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2023-40404: Certik Skyfall Team
Passkeys
Beschikbaar voor: macOS Sonoma
Impact: een aanvaller kan wachtwoordsleutels inzien zonder authenticatie
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2023-42847: een anonieme onderzoeker
Photos
Beschikbaar voor: macOS Sonoma
Impact: foto's in het album Verborgen foto's kunnen zonder authenticatie worden bekeken
Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.
CVE-2023-42845: Bistrit Dahla
Pro Res
Beschikbaar voor: macOS Sonoma
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu en Guang Gong van het 360 Vulnerability Research Institute
Safari
Beschikbaar voor: macOS Sonoma
Impact: een bezoek aan een schadelijke website kan browsergeschiedenis openbaar maken
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-41977: Alex Renda
Safari
Beschikbaar voor: macOS Sonoma
Impact: een bezoek aan een kwaadaardige website kan leiden tot vervalsing van de gebruikersinterface
Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.
CVE-2023-42438: Rafay Baloch & Muhammad Samaak, een anonieme onderzoeker
Siri
Beschikbaar voor: macOS Sonoma
Impact: een aanvaller zonder fysieke toegang kan Siri gebruiken om toegang te krijgen tot gevoelige gebruikersgegevens
Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.
CVE-2023-41982: Bistrit Dahla
CVE-2023-41997: Bistrit Dahla
CVE-2023-41988: Bistrit Dahla
talagent
Beschikbaar voor: macOS Sonoma
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een machtigingsprobleem met aanvullende beperkingen is verholpen.
CVE-2023-40421: Noah Roskin-Frazee en Prof. J. (ZeroClicks.ai Lab)
Terminal
Beschikbaar voor: macOS Sonoma
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-42842: een anonieme onderzoeker
Vim
Beschikbaar voor: macOS Sonoma
Impact: het verwerken van schadelijke invoer kan leiden tot het uitvoeren van code
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2023-4733
CVE-2023-4734
CVE-2023-4735
CVE-2023-4736
CVE-2023-4738
CVE-2023-4750
CVE-2023-4751
CVE-2023-4752
CVE-2023-4781
Weather
Beschikbaar voor: macOS Sonoma
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-41254: Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Romenië
WebKit
Beschikbaar voor: macOS Sonoma
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) van Cross Republic
WebKit
Beschikbaar voor: macOS Sonoma
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Beschikbaar voor: macOS Sonoma
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
WebKit Bugzilla: 260173
CVE-2023-42852: een anonieme onderzoeker
WebKit Process Model
Beschikbaar voor: macOS Sonoma
Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
WindowServer
Beschikbaar voor: macOS Sonoma
Impact: een website heeft mogelijk toegang tot de microfoon zonder dat de indicator voor microfoongebruik wordt getoond
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2023-41975: een anonieme onderzoeker

Aanvullende erkenning
libarchive
Met dank aan Bahaa Naamneh voor de hulp.
libxml2
We willen OSS-Fuzz en Ned Williamson van Google Project Zero bedanken voor de hulp.
Login Window
Met dank aan een anonieme onderzoeker voor de hulp.
man
Met dank aan Kirin (@Pwnrin) voor de hulp.
Power Manager
Met dank aan Xia0o0o0o (@Nyaaaaa_ovo) van de University of California, San Diego voor de hulp.
Reminders
Met dank Noah Roskin-Frazee en professor J. (ZeroClicks.ai Lab) voor de hulp.
WebKit
Met dank aan een anonieme onderzoeker voor de hulp.