Om sikkerhetsinnholdet i macOS Ventura 13.6.3
Dette dokumentet beskriver sikkerhetsinnholdet i macOS Ventura 13.6.3.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Ventura 13.6.3
Utgitt 11. desember 2023
Accounts
Tilgjengelig for: macOS Ventura
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Tilgjengelig for: macOS Ventura
Virkning: En app kan være i stand til å få tilgang til informasjon om en brukers kontakter
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-42894: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)
Archive Utility
Tilgjengelig for: macOS Ventura
Virkning: Et program kan få tilgang til sensitive brukerdata
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Tilgjengelig for: macOS Ventura
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et problem ble løst gjennom forbedret behandling av midlertidige filer.
CVE-2023-42896: Mickey Jin (@patch1t)
Oppføring lagt til 22. mars 2024
Automation
Tilgjengelig for: macOS Ventura
Virkning: Apper med rotrettigheter kan få tilgang til privat informasjon
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42952: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Oppføring lagt til 16. februar 2024
AVEVideoEncoder
Tilgjengelig for: macOS Ventura
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-42884: en anonym forsker
CoreServices
Tilgjengelig for: macOS Ventura
Virkning: En bruker kan forårsake uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
DiskArbitration
Tilgjengelig for: macOS Ventura
Virkning: En prosess kan få administratorrettigheter uten riktig godkjenning
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42931: Yann GASCUEL fra Alter Solutions
Oppføring lagt til 22. mars 2024
Emoji
Tilgjengelig for: macOS Ventura
Virkning: En angriper kan kjøre vilkårlig kode som rot fra låseskjermen
Beskrivelse: Problemet ble løst ved å begrense valgene som vises på en låst enhet.
CVE-2023-41989: Jewel Lambert
Oppføring lagt til 16. juli 2024
FileURL
Tilgjengelig for: macOS Ventura
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-42892: Anthony Cruz @App Tyrant Corp
Oppføring lagt til 22. mars 2024
Find My
Tilgjengelig for: macOS Ventura
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-42922: Wojciech Regula fra SecuRing (wojciechregula.blog)
Find My
Tilgjengelig for: macOS Ventura
Virkning: Et program kan få tilgang til sensitive brukerdata
Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av filer.
CVE-2023-42834: Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring lagt til 16. februar 2024
ImageIO
Tilgjengelig for: macOS Ventura
Virkning: Behandling av et bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-42899: Meysam Firouzi @R00tkitSMM og Junsung Lee
IOKit
Tilgjengelig for: macOS Ventura
Virkning: En app kan potensielt overvåke tastetrykk uten brukerens tillatelse
Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-42891: en anonym forsker
IOUSBDeviceFamily
Tilgjengelig for: macOS Ventura
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.
Oppføring lagt til 22. mars 2024
Kernel
Tilgjengelig for: macOS Ventura
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) fra Synacktiv (@Synacktiv)
Libsystem
Tilgjengelig for: macOS Ventura
Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata
Beskrivelse: Et tillatelsesproblem ble løst ved å fjerne sårbar kode og legge til ytterligere kontroller.
CVE-2023-42893
Oppføring lagt til 22. mars 2024
Model I/O
Tilgjengelig for: macOS Ventura
Virkning: Behandling av et bilde kan føre til tjenestenekt
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2023-3618
Oppføring lagt til 22. mars 2024
ncurses
Tilgjengelig for: macOS Ventura
Virkning: En ekstern bruker kan være i stand til å forårsake uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
quarantine
Tilgjengelig for: macOS Ventura
Virkning: En app kan utilsiktet kjøre kode utenfor sandkassen sin eller med bestemte høyere tillatelser
Beskrivelse: Et tilgangsproblem ble løst med forbedringer av sandkassen.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) og Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring lagt til 16. februar 2024
Sandbox
Tilgjengelig for: macOS Ventura
Virkning: En angriper kan få tilgang til tilkoblede nettverksvolumer som er montert i hjemmekatalogen
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Oppføring lagt til 16. februar 2024
Sandbox
Tilgjengelig for: macOS Ventura
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-42936: Csaba Fitzl (@theevilbit) fra OffSec
Oppføring lagt til 22. mars 2024, oppdatert 16. juli 2024
Shell
Tilgjengelig for: macOS Ventura
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Oppføring lagt til 22. mars 2024
TCC
Tilgjengelig for: macOS Ventura
Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Tilgjengelig for: macOS Ventura
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.
CVE-2023-42947: Zhongquan Li (@Guluisacat) fra Dawn Security Lab hos JingDong
Oppføring lagt til 22. mars 2024
Vim
Tilgjengelig for: macOS Ventura
Virkning: Å åpne en skadelig fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst ved å oppdatere til Vim-versjon 9.0.1969.
CVE-2023-5344
Ytterligere anerkjennelser
Preview
Vi vil gjerne takke Akshay Nagpal for hjelpen.
Oppføring lagt til 16. februar 2024
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.