Om sikkerhetsinnholdet i macOS Sonoma 14.2
Dette dokumentet beskriver sikkerhetsinnholdet i macOS Sonoma 14.2.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Sonoma 14.2
Utgitt 11. desember 2023
Accessibility
Tilgjengelig for: macOS Sonoma
Virkning: Sikre tekstfelt kan vises via Tilgjengelighetstastatur ved bruk av et fysisk tastatur
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2023-42874: Don Clarke
Accessibility
Tilgjengelig for: macOS Sonoma
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-42937: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)
Oppføring lagt til 22. januar 2024
Accounts
Tilgjengelig for: macOS Sonoma
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Tilgjengelig for: macOS Sonoma
Virkning: En app kan være i stand til å få tilgang til informasjon om en brukers kontakter
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-42894: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)
AppleGraphicsControl
Tilgjengelig for: macOS Sonoma
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2023-42901: Ivan Fratric fra Google Project Zero
CVE-2023-42902: Ivan Fratric fra Google Project Zero og Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
CVE-2023-42912: Ivan Fratric fra Google Project Zero
CVE-2023-42903: Ivan Fratric fra Google Project Zero
CVE-2023-42904: Ivan Fratric fra Google Project Zero
CVE-2023-42905: Ivan Fratric fra Google Project Zero
CVE-2023-42906: Ivan Fratric fra Google Project Zero
CVE-2023-42907: Ivan Fratric fra Google Project Zero
CVE-2023-42908: Ivan Fratric fra Google Project Zero
CVE-2023-42909: Ivan Fratric fra Google Project Zero
CVE-2023-42910: Ivan Fratric fra Google Project Zero
CVE-2023-42911: Ivan Fratric fra Google Project Zero
CVE-2023-42926: Ivan Fratric fra Google Project Zero
AppleVA
Tilgjengelig for: macOS Sonoma
Virkning: Behandling av et bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-42882: Ivan Fratric fra Google Project Zero
AppleVA
Tilgjengelig for: macOS Sonoma
Virkning: Behandling av en fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-42881: Ivan Fratric fra Google Project Zero
Oppføring lagt til 12. desember 2023
Archive Utility
Tilgjengelig for: macOS Sonoma
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Tilgjengelig for: macOS Sonoma
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et problem ble løst gjennom forbedret behandling av midlertidige filer.
CVE-2023-42896: Mickey Jin (@patch1t)
Oppføring lagt til 22. mars 2024
AVEVideoEncoder
Tilgjengelig for: macOS Sonoma
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-42884: en anonym forsker
Bluetooth
Tilgjengelig for: macOS Sonoma
Virkning: En angriper i en privilegert nettverksplassering kan injisere tastetrykk ved å imitere et tastatur
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-45866: Marc Newlin fra SkySafe
CoreMedia Playback
Tilgjengelig for: macOS Sonoma
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42900: Mickey Jin (@patch1t)
CoreServices
Tilgjengelig for: macOS Sonoma
Virkning: En bruker kan forårsake uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
curl
Tilgjengelig for: macOS Sonoma
Virkning: Flere problemer i curl
Beskrivelse: Flere problemer ble løst ved å oppdatere til curl-versjon 8.4.0.
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
Oppføring lagt til 22. januar 2024 og oppdatert 13. februar 2024
DiskArbitration
Tilgjengelig for: macOS Sonoma
Virkning: En prosess kan få administratorrettigheter uten riktig godkjenning
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42931: Yann GASCUEL fra Alter Solutions
Oppføring lagt til 22. mars 2024
FileURL
Tilgjengelig for: macOS Sonoma
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-42892: Anthony Cruz @App Tyrant Corp
Oppføring lagt til 22. mars 2024
Find My
Tilgjengelig for: macOS Sonoma
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-42922: Wojciech Regula fra SecuRing (wojciechregula.blog)
ImageIO
Tilgjengelig for: macOS Sonoma
Virkning: Behandling av et bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-42898: Zhenjiang Zhao of Pangu Team, Qianxin og Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM og Junsung Lee
Oppføring oppdatert 22. mars 2024
ImageIO
Tilgjengelig for: macOS Sonoma
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42888: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
Oppføring lagt til 22. januar 2024
IOKit
Tilgjengelig for: macOS Sonoma
Virkning: En app kan potensielt overvåke tastetrykk uten brukerens tillatelse
Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-42891: en anonym forsker
IOUSBDeviceFamily
Tilgjengelig for: macOS Sonoma
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.
Oppføring lagt til 22. mars 2024
Kernel
Tilgjengelig for: macOS Sonoma
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) fra Synacktiv (@Synacktiv)
Libsystem
Tilgjengelig for: macOS Sonoma
Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata
Beskrivelse: Et tillatelsesproblem ble løst ved å fjerne sårbar kode og legge til ytterligere kontroller.
CVE-2023-42893
Oppføring lagt til 22. mars 2024
Model I/O
Tilgjengelig for: macOS Sonoma
Virkning: Behandling av et bilde kan føre til tjenestenekt
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2023-3618
Oppføring lagt til 22. mars 2024
ncurses
Tilgjengelig for: macOS Sonoma
Virkning: En ekstern bruker kan være i stand til å forårsake uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
NSOpenPanel
Tilgjengelig for: macOS Sonoma
Virkning: Et program kan være i stand til å lese vilkårlige filer
Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.
CVE-2023-42887: Ron Masas fra BreakPoint.sh
Oppføring lagt til 22. januar 2024
Sandbox
Tilgjengelig for: macOS Sonoma
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-42936: Csaba Fitzl (@theevilbit) fra OffSec
Oppføring lagt til 22. mars 2024, oppdatert 16. juli 2024
Share Sheet
Tilgjengelig for: macOS Sonoma
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et personvernproblem ble løst ved å flytte sensitive opplysninger til et beskyttet sted.
CVE-2023-40390: Csaba Fitzl (@theevilbit) fra Offensive Security og Mickey Jin (@patch1t)
Oppføring lagt til 22. mars 2024
SharedFileList
Tilgjengelig for: macOS Sonoma
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42842: en anonym forsker
Shell
Tilgjengelig for: macOS Sonoma
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Oppføring lagt til 22. mars 2024
System Settings
Tilgjengelig for: macOS Sonoma
Virkning: Eksterne påloggingsøkter kan være i stand til å få fulle disktilgangstillatelser
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2023-42913: Mattie Behrens og Joshua Jewett (@JoshJewett33)
Oppføring lagt til 22. mars 2024
TCC
Tilgjengelig for: macOS Sonoma
Virkning: En app kan kanskje få tilgang til beskyttede brukerdata
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Tilgjengelig for: macOS Sonoma
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.
CVE-2023-42947: Zhongquan Li (@Guluisacat) fra Dawn Security Lab hos JingDong
Oppføring lagt til 22. mars 2024
Transparency
Tilgjengelig for: macOS Sonoma
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst med forbedret begrensning av tilgang til databeholder.
CVE-2023-40389: Csaba Fitzl (@theevilbit) hos Offensive Security og Joshua Jewett (@JoshJewett33)
Oppføring lagt til 16. juli 2024
Vim
Tilgjengelig for: macOS Sonoma
Virkning: Å åpne en skadelig fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst ved å oppdatere til Vim-versjon 9.0.1969.
CVE-2023-5344
WebKit
Tilgjengelig for: macOS Sonoma
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Tilgjengelig for: macOS Sonoma
Virkning: Behandling av et bilde kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Tilgjengelig for: macOS Sonoma
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) fra 360 Vulnerability Research Institute og rushikesh nandedkar
Oppføring lagt til 22. mars 2024
WebKit
Tilgjengelig for: macOS Sonoma
Virkning: Behandling av nettinnhold kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Oppføring lagt til 22. mars 2024
Ytterligere anerkjennelser
Memoji
Vi vil gjerne takke Jerry Tenenbaum for hjelpen.
WebSheet
Vi vil gjerne takke Paolo Ruggero fra e-phors S.p.A. (A FINCANTIERI S.p.A. Company) for hjelpen.
Oppføring lagt til 22. mars 2024
Wi-Fi
Vi vil gjerne takke Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab) for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.