Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Ventura 13.6.1
Utgitt 25. oktober 2023
CoreAnimation
Tilgjengelig for: macOS Ventura
Virkning: Et program kan være i stand til å forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-40449: Tomi Tokics (@tomitokics) fra iTomsn0w
Core Recents
Tilgjengelig for: macOS Ventura
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst ved å rense loggføring
CVE-2023-42823
Oppføring lagt til 16. februar 2024
FileProvider
Tilgjengelig for: macOS Ventura
Virkning: En app kan være i stand til å forårsake tjenestenekt for Endpoint Security-klienter
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2023-42854: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)
Find My
Tilgjengelig for: macOS Ventura
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.
CVE-2023-40413: Adam M.
Foundation
Tilgjengelig for: macOS Ventura
Virkning: Et nettsted kan få tilgang til sensitive brukerdata ved løsing av symlinks
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.
CVE-2023-42844: Ron Masas fra BreakPoint.sh
Image Capture
Tilgjengelig for: macOS Ventura
Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
Tilgjengelig for: macOS Ventura
Virkning: Behandling av bilder kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-40416: JZ
ImageIO
Tilgjengelig for: macOS Ventura
Virkning: Behandling av et skadelig bilde kan føre til skade i heapen
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2023-42848: JZ
Oppføring lagt til 16. februar 2024
IOTextEncryptionFamily
Tilgjengelig for: macOS Ventura
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-40423: en anonym forsker
iperf3
Tilgjengelig for: macOS Ventura
Virkning: En ekstern bruker kan være i stand til å forårsake uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-38403
Kernel
Tilgjengelig for: macOS Ventura
Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan være i stand til å forbigå skadebegrensende tiltak for kjerneminnet
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-42849: Linus Henze fra Pinauten GmbH (pinauten.de)
libc
Tilgjengelig for: macOS Ventura
Virkning: Behandling av skadelige inndata kan føre til vilkårlig kodekjøring i brukerinstallerte apper
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-40446: inooo
Oppføring lagt til 3. november 2023
libxpc
Tilgjengelig for: macOS Ventura
Virkning: En skadelig app kan være i stand til å få rotrettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.
CVE-2023-42942: Mickey Jin (@patch1t)
Oppføring lagt til 16. februar 2024
Model I/O
Tilgjengelig for: macOS Ventura
Virkning: Behandling av en fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-42856: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
PackageKit
Tilgjengelig for: macOS Ventura
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) og Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Oppføring lagt til 16. februar 2024
PackageKit
Tilgjengelig for: macOS Ventura
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42840: Mickey Jin (@patch1t), og Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring lagt til 16. februar 2024
PackageKit
Tilgjengelig for: macOS Ventura
Virkning: Et program kan være i stand til å omgå enkelte personvernpreferanser
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42889: Mickey Jin (@patch1t)
Oppføring lagt til 16. februar 2024
PackageKit
Tilgjengelig for: macOS Ventura
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-42853: Mickey Jin (@patch1t)
Oppføring lagt til 16. februar 2024
PackageKit
Tilgjengelig for: macOS Ventura
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) fra FFRI Security, Inc.
Oppføring lagt til 16. februar 2024
Passkeys
Tilgjengelig for: macOS Ventura
Virkning: En angriper kan få tilgang til passnøkler uten autentisering
Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.
CVE-2023-40401: en anonym forsker og weize she
Pro Res
Tilgjengelig for: macOS Ventura
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu og Guang Gong fra 360 Vulnerability Research Institute
Pro Res
Tilgjengelig for: macOS Ventura
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), og happybabywu og Guang Gong fra 360 Vulnerability Research Institute
Oppføring lagt til 16. februar 2024
SQLite
Tilgjengelig for: macOS Ventura
Virkning: En ekstern bruker kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-36191
Oppføring lagt til 16. februar 2024
talagent
Tilgjengelig for: macOS Ventura
Virkning: Et program kan få tilgang til sensitive brukerdata
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2023-40421: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)
Weather
Tilgjengelig for: macOS Ventura
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-41254: Cristian Dinca fra «Tudor Vianu» National High School of Computer Science, Romania
WindowServer
Tilgjengelig for: macOS Ventura
Virkning: Et nettsted kan få tilgang til mikrofonen uten at indikatoren for mikrofonbruk vises
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2023-41975: en anonym forsker
WindowServer
Tilgjengelig for: macOS Ventura
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42858: en anonym forsker
Oppføring lagt til 16. februar 2024
Ytterligere anerkjennelser
GPU Drivers
Vi vil gjerne takke en anonym forsker for hjelpen.
libarchive
Vi vil gjerne takke Bahaa Naamneh for hjelpen.
libxml2
Vi vil gjerne takke OSS-Fuzz, Ned Williamson fra Google Project Zero for hjelpen.