Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Ventura 13.6.5
Utgitt 7. mars 2024
Admin Framework
Tilgjengelig for: macOS Ventura
Virkning: En app kan klare å utvide rettigheter
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2024-23276: Kirin (@Pwnrin)
AirPort
Tilgjengelig for: macOS Ventura
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Tilgjengelig for: macOS Ventura
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et nedgraderingsproblem som påvirket Intel-baserte Macer, ble løst med ytterligere begrensninger for kodesignering.
CVE-2024-23269: Mickey Jin (@patch1t)
ColorSync
Tilgjengelig for: macOS Ventura
Virkning: Behandling av en fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-23247: m4yfly sammen med TianGong Team ved Legendsec hos Qi'anxin Group
CoreCrypto
Tilgjengelig for: macOS Ventura
Virkning: En angriper kan være i stand til å dekryptere tekst som bruker eldre RSA PKCS#1 v1.5-kryptering, uten den private nøkkelen
Beskrivelse: Et timingsidekanal-problem løst gjennom forbedringer for konstant tidsberegning i kryptografiske funksjoner.
CVE-2024-23218: Clemens Lang
Disk Images
Tilgjengelig for: macOS Ventura
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-23299: en anonym forsker
Oppføring lagt til 31. mai 2024
Find My
Tilgjengelig for: macOS Ventura
Virkning: Et skadelig program kan få tilgang til Hvor er?-data
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2024-23229: Joshua Jewett (@JoshJewett33)
Oppføring lagt til 13. mai 2024
Image Processing
Tilgjengelig for: macOS Ventura
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-23270: en anonym forsker
ImageIO
Tilgjengelig for: macOS Ventura
Virkning: Behandling av et bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2024-23286: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative, Amir Bazine og Karsten König hos CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) og Lyutoon og Mr.R
Oppføring oppdatert 31. mai 2024
ImageIO
Tilgjengelig for: macOS Ventura
Virkning: Behandling av bilder kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-23257: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative
Intel Graphics Driver
Tilgjengelig for: macOS Ventura
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Tilgjengelig for: macOS Ventura
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Tilgjengelig for: macOS Ventura
Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.
CVE-2024-23265: Xinru Chi hos Pangu Lab
Kernel
Tilgjengelig for: macOS Ventura
Virkning: En angriper med muligheter for vilkårlig lesing og skriving til kjernen kan klare å forbigå beskyttelser av kjerneminnet. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet.
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2024-23225
libxpc
Tilgjengelig for: macOS Ventura
Virkning: Et program kan være i stand til å forårsake tjenestenekt
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2024-23201: Koh M. Nakagawa hos FFRI Security, Inc., en anonym forsker
libxpc
Tilgjengelig for: macOS Ventura
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-23278: en anonym forsker
MediaRemote
Tilgjengelig for: macOS Ventura
Virkning: Et program kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-28826: Meng Zhang (鲸落) hos NorthSea
Metal
Tilgjengelig for: macOS Ventura
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm i samarbeid med Trend Micro Zero Day Initiative
Notes
Tilgjengelig for: macOS Ventura
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2024-23283
PackageKit
Tilgjengelig for: macOS Ventura
Virkning: En app kan klare å utvide rettigheter
Beskrivelse: Et injeksjonsproblem ble løst gjennom forbedret validering av inndata.
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
CVE-2024-23268: Mickey Jin (@patch1t) og Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Tilgjengelig for: macOS Ventura
Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2024-23275: Mickey Jin (@patch1t)
PackageKit
Tilgjengelig for: macOS Ventura
Virkning: Et program kan være i stand til å omgå enkelte personvernpreferanser
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Tilgjengelig for: macOS Ventura
Virkning: En app kan være i stand til å overskrive vilkårlige filer
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
Share Sheet
Tilgjengelig for: macOS Ventura
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2024-23231: Kirin (@Pwnrin) og luckyu (@uuulucky)
SharedFileList
Tilgjengelig for: macOS Ventura
Virkning: Et program kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst gjennom forbedret filhåndtering.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Tilgjengelig for: macOS Ventura
Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren
Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.
CVE-2024-23203: en anonym forsker
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Tilgjengelig for: macOS Ventura
Virkning: Snarveier fra tredjeparter kan bruke en eldre handling fra Automator til å sende hendelser til apper uten brukersamtykke
Beskrivelse: Dette problemet ble løst ved å legge inn en ekstra forespørsel om brukersamtykke.
CVE-2024-23245: en anonym forsker
Shortcuts
Tilgjengelig for: macOS Ventura
Virkning: Et program kan være i stand til å omgå enkelte personvernpreferanser
Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av midlertidige filer.
CVE-2024-23217: Kirin (@Pwnrin)
Storage Services
Tilgjengelig for: macOS Ventura
Virkning: En angriper kan få tilgang til beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2024-23272: Mickey Jin (@patch1t)
Oppføring oppdatert 13. mai 2024
Transparency
Tilgjengelig for: macOS Ventura
Virkning: Et program kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst med forbedret begrensning av tilgang til databeholder.
CVE-2023-40389: Csaba Fitzl (@theevilbit) hos Offensive Security og Joshua Jewett (@JoshJewett33)
Oppføring lagt til 31. mai 2024