Informacje o zawartości związanej z zabezpieczeniami w systemie macOS Ventura 13.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Ventura 13.3.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Ventura 13.3

Wydano 27 marca 2023 r.

AMD

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2023-32436: ABC Research s.r.o.

Wpis dodano 31 października 2023 r.

AMD

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2023-27968: ABC Research s.r.o.

CVE-2023-28209: ABC Research s.r.o.

CVE-2023-28210: ABC Research s.r.o.

CVE-2023-28211: ABC Research s.r.o.

CVE-2023-28212: ABC Research s.r.o.

CVE-2023-28213: ABC Research s.r.o.

CVE-2023-28214: ABC Research s.r.o.

CVE-2023-28215: ABC Research s.r.o.

CVE-2023-32356: ABC Research s.r.o.

Wpis dodano 5 września 2023 r.

Apple Neural Engine

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2023-23532: Mohamed GHANNAM (@_simo36)

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Ventura

Zagrożenie: użytkownik może uzyskać dostęp do chronionych części systemu plików.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-23527: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2023-27931: Mickey Jin (@patch1t)

AppleScript

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie złośliwie spreparowanego pliku binarnego AppleScript może spowodować nieoczekiwane zakończenie działania aplikacji lub ujawnienie pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-28179: Mickey Jin (@patch1t)

Wpis dodano 1 sierpnia 2023 r.

App Store

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2023-42830: Adam M.

Wpis dodano 21 grudnia 2023 r, uaktualniono 16 lipca 2024 r.

Archive Utility

Dostępne dla: systemu macOS Ventura

Zagrożenie: archiwum może być zdolne do obejścia zabezpieczenia Gatekeeper.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-27951: Brandon Dalton (@partyD0lphin) z Red Canary, Chan Shue Long i Csaba Fitzl (@theevilbit) z Offensive Security

Wpis uaktualniono 5 września 2023 r.

Calendar

Dostępne dla: systemu macOS Ventura

Zagrożenie: zaimportowanie złośliwie spreparowanego zaproszenia do kalendarza może spowodować skryte wyprowadzanie informacji o użytkowniku

Opis: naprawiono wiele błędów sprawdzania poprawności przez poprawienie procesu oczyszczania danych wejściowych.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Wpis uaktualniono 5 września 2023 r.

Camera

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja w piaskownicy może być w stanie ustalić, która aplikacja korzysta obecnie z kamery.

Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących obserwowalności stanów aplikacji.

CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)

Carbon Core

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-23534: Mickey Jin (@patch1t)

ColorSync

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie odczytywać arbitralnie wybrane pliki.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-27955: JeongOhKyea

CommCenter

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-27936: Tingting Yin z Tsinghua University

CoreServices

Dostępne dla: systemu macOS Ventura

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2023-40398: Mickey Jin (@patch1t)

Wpis dodano 16 lipca 2024 r.

CoreCapture

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-28181: Tingting Yin z Tsinghua University

Crash Reporter

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2023-32426: Junoh Lee z Theori

Wpis dodano 5 września 2023 r.

curl

Dostępne dla: systemu macOS Ventura

Zagrożenie: wiele błędów w komponentach curl.

Opis: naprawiono liczne błędy przez uaktualnienie komponentów curl.

CVE-2022-43551

CVE-2022-43552

dcerpc

Dostępne dla: systemu macOS Ventura

Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: rozwiązano problem z inicjalizacją pamięci.

CVE-2023-27934: Aleksandar Nikolic z Cisco Talos

Wpis uaktualniono 8 czerwca 2023 r.

dcerpc

Dostępne dla: systemu macOS Ventura

Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie spowodować atak typu „odmowa usługi”.

Opis: usunięto błąd powodujący atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.

CVE-2023-28180: Aleksandar Nikolic z Cisco Talos

dcerpc

Dostępne dla: systemu macOS Ventura

Zagrożenie: użytkownik zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2023-27935: Aleksandar Nikolic z Cisco Talos

dcerpc

Dostępne dla: systemu macOS Ventura

Zagrożenie: użytkownik zdalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-27953: Aleksandar Nikolic z Cisco Talos

CVE-2023-27958: Aleksandar Nikolic z Cisco Talos

Usługi biurka

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może ominąć kontrole funkcji Gatekeeper.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2023-40433: Mikko Kenttälä (@Turmio_ ) z SensorFu

Wpis dodano 21 grudnia 2023 r.

FaceTime

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez przeniesienie poufnych danych do bezpieczniejszej lokalizacji.

CVE-2023-28190: Joshua Jones

Find My

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2023-23537: Adam M.

CVE-2023-28195: Adam M.

Wpis dodano 5 września 2023 r., uaktualniono 21 grudnia 2023 r.

FontParser

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-27956: Ye Zhang (@VAR10CK) z Baidu Security

Wpis uaktualniono 31 października 2023 r.

FontParser

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie Pliku czcionki może doprowadzić do wykonania dowolnego kodu

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-32366: Ye Zhang (@VAR10CK) z Baidu Security

Wpis dodano 31 października 2023 r.

Foundation

Dostępne dla: systemu macOS Ventura

Zagrożenie: przeprowadzenie analizy złośliwie spreparowanego pliku plist może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-27937: anonimowy badacz

iCloud

Dostępne dla: systemu macOS Ventura

Zagrożenie: plik z folderu Udostępnione przeze mnie w iCloud może być zdolny do obejścia zabezpieczenia Gatekeeper.

Opis: ten problem został rozwiązany przez dodatkowe sprawdzanie przez Gatekeeper plików pobranych z folderu Udostępnione przeze mnie w iCloud.

CVE-2023-23526: Jubaer Alnazi z TRS Group of Companies

Identity Services

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do informacji o kontaktach użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2023-27928: Csaba Fitzl (@theevilbit) z Offensive Security

ImageIO

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie obrazu może doprowadzić do ujawnienia pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-27939: jzhu w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2023-27947: Meysam Firouzi (@R00tkitSMM) z Mbition Mercedes-Benz Innovation Lab

CVE-2023-27948: Meysam Firouzi (@R00tkitSMM) z Mbition mercedes-benz innovation lab

CVE-2023-42862: Meysam Firouzi (@R00tkitSMM) z Mbition Mercedes-Benz Innovation Lab

CVE-2023-42865: jzhu w ramach programu Zero Day Initiative firmy Trend Micro i Meysam Firouzi (@R00tkitSMM) z Mbition Mercedes-Benz Innovation Lab

Wpis dodano 1 sierpnia 2023 r., uaktualniono 21 grudnia 2023 r.

ImageIO

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-23535: ryuzaki

ImageIO

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) z Mbition Mercedes-Benz Innovation Lab i jzhu w ramach programu Zero Day Initiative firmy Trend Micro

ImageIO

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2023-27946: Mickey Jin (@patch1t)

ImageIO

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2023-27957: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2023-32378: Murray Mike

Wpis dodano 31 października 2023 r.

Kernel

Dostępne dla: systemu macOS Ventura

Zagrożenie: użytkownik może doprowadzić do ataku typu „odmowa usługi”.

Opis: ten problem naprawiono przez poprawienie zarządzania stanem.

CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.

Wpis dodano 5 września 2023 r.

Kernel

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-27941: Arsenii Kostromin (0x3c3e)

CVE-2023-28199: Arsenii Kostromin (0x3c3e)

Wpis dodano 1 października 2023 r., uaktualniono 31 października 2023 r.

Kernel

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2023-23536: Félix Poulin-Bélanger i David Pan Ogea

Wpis dodano 1 maja 2023 r., uaktualniono 31 października 2023 r.

Kernel

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2023-23514: Xinru Chi z Pangu Lab i Ned Williamson z Google Project Zero

CVE-2023-27969: Adam Doupé z ASU SEFCOM

Kernel

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja z uprawnieniami użytkownika root może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-27933: sqrtpwn

Kernel

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2023-28200: Arsenii Kostromin (0x3c3e)

Usługi uruchamiania

Dostępne dla: systemu macOS Ventura

Zagrożenie: pliki pobrane z Internetu mogą nie mieć zastosowanej flagi kwarantanny.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2023-27943: anonimowy badacz, Brandon Dalton (@partyD0lphin) z Red Canary, Milan Tenk i Arthur Valiev z F-Secure Corporation

Wpis uaktualniono 31 października 2023 r.

Usługi uruchamiania

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2023-23525: Mickey Jin (@patch1t)

Biblioteka libc

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2023-40383: Mickey Jin (@patch1t)

Wpis dodano 31 października 2023 r.

libpthread

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.

CVE-2023-41075: Zweig z Kunlun Lab

Wpis dodano 21 grudnia 2023 r.

Poczta

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie wyświetlić poufne informacje.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-28189: Mickey Jin (@patch1t)

Wpis dodano 1 maja 2023 r.

Messages

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2023-28197: Joshua Jones

Wpis dodano 31 października 2023 r.

Model I/O

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie obrazu może doprowadzić do ujawnienia pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-27950: Mickey Jin (@patch1t)

Wpis dodano 5 września 2023 r.

Model I/O

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-27949: Mickey Jin (@patch1t)

NetworkExtension

Dostępne dla: systemu macOS Ventura

Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie sfałszować serwer VPN skonfigurowany z uwierzytelnianiem obejmującym tylko EAP na urządzeniu.

Opis: ten błąd naprawiono przez ulepszenie uwierzytelniania.

CVE-2023-28182: Zhuowei Zhang

PackageKit

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2023-23538: Mickey Jin (@patch1t)

CVE-2023-27962: Mickey Jin (@patch1t)

Photos

Dostępne dla: systemu macOS Ventura

Zagrożenie: zdjęcia należące do albumu Ukryte zdjęcia mogły być przeglądane bez uwierzytelniania za pomocą funkcji Wyszukiwanie wizualne.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2023-23523: developStorm

Podcasty

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-27942: Mickey Jin (@patch1t)

Quick Look

Dostępne dla: systemu macOS Ventura

Zagrożenie: witryna internetowa może być w stanie ujawnić poufne informacje użytkownika.

Opis: zmieniono procedury obsługi błędów, aby nie ujawniać poufnych informacji.

CVE-2023-32362: Khiem Tran

Wpis dodano 5 września 2023 r.

Safari

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może ominąć kontrole funkcji Gatekeeper.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2023-27952: Csaba Fitzl (@theevilbit) z Offensive Security

Sandbox

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa of FFRI Security, Inc. i Csaba Fitzl (@theevilbit) z Offensive Security

Sandbox

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

SharedFileList

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-27966: Masahiro Kawada (@kawakatz) z GMO Cybersecurity by Ierae

Wpis dodano 1 maja 2023 r, uaktualniono 1 sierpnia 2023 r.

Shortcuts

Dostępne dla: systemu macOS Ventura

Zagrożenie: skrót może używać poufnych danych do wykonywania pewnych czynności bez monitowania użytkownika.

Opis: błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania uprawnień.

CVE-2023-27963: Jubaer Alnazi Jabin z TRS Group Of Companies oraz Wenchao Li i Xiaolong Bai z Alibaba Group

System Settings

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2023-23542: Adam M.

Wpis uaktualniono 5 września 2023 r.

System Settings

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: usunięto błąd uprawnień przez poprawienie procedury sprawdzania poprawności.

CVE-2023-28192: Guilherme Rambo z Best Buddy Apps (rambo.codes)

TCC

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2023-27931: Mickey Jin (@patch1t)

TextKit

Dostępne dla: systemu macOS Ventura

Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”

Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-28188: Xin Huang (@11iaxH)

Wpis dodano 5 września 2023 r.

Vim

Dostępne dla: systemu macOS Ventura

Zagrożenie: liczne błędy w aplikacji Vim.

Opis : naprawiono liczne błędy przez uaktualnienie biblioteki Vim do wersji 9.0.1191.

CVE-2023-0049

CVE-2023-0051

CVE-2023-0054

CVE-2023-0288

CVE-2023-0433

CVE-2023-0512

WebKit

Dostępne dla: systemu macOS Ventura

Zagrożenie: może wystąpić błąd podczas blokowania domen z symbolami wieloznacznymi przez reguły Content Security Policy.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

WebKit Bugzilla: 250709

CVE-2023-32370: Gertjan Franken z imec-DistriNet, KU Leuven

Wpis dodano 5 września 2023 r.

WebKit

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

WebKit Bugzilla: 250429

CVE-2023-28198: hazbinhotel w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 1 sierpnia 2023 r.

WebKit

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetwarzanie zawartości internetowej mogło spowodować wykonanie dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.7.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

WebKit Bugzilla: 251890

CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) i Valentin Pashkov z Kaspersky

Wpis dodano 21 czerwca 2023 r., uaktualniono 1 sierpnia 2023 r.

WebKit

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ominąć zasadę tego samego pochodzenia.

Opis: ten problem naprawiono przez poprawienie zarządzania stanem.

CVE-2023-27932: anonimowy badacz

WebKit

Dostępne dla: systemu macOS Ventura

Zagrożenie: witryna internetowa może być w stanie ujawnić poufne informacje użytkownika.

Opis: ten problem rozwiązano przez usunięcie informacji o źródle.

CVE-2023-27954: anonimowy badacz

WebKit

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

WebKit Bugzilla: 249434

CVE-2014-1745: anonimowy badacz

Wpis dodano 21 grudnia 2023 r.

WebKit PDF

Dostępne dla: systemu macOS Ventura

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.

WebKit Bugzilla: 249169

CVE-2023-32358: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 1 sierpnia 2023 r.

Inspektor www WebKit

Dostępne dla: systemu macOS Ventura

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: ten problem naprawiono przez poprawienie zarządzania stanem.

CVE-2023-28201: Dohyun Lee (@l33d0hyun) i crixer (@pwning_me) z SSD Labs

Wpis dodano 1 maja 2023 r.

Usługi XPC

Dostępne dla: systemu macOS Ventura

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono za pomocą nowego uprawnienia.

CVE-2023-27944: Mickey Jin (@patch1t)

Dodatkowe podziękowania

Activation Lock

Dziękujemy za udzieloną pomoc: Christian Mina.

AppleMobileFileIntegrity

Dziękujemy za udzieloną pomoc: Wojciech Reguła (@_r3ggi) z SecuRing.

Wpis dodano 21 grudnia 2023 r.

AppleScript

Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).

Calendar UI

Dziękujemy za udzieloną pomoc: Rafi Andhika Galuh (@rafipiun).

Wpis dodano 1 sierpnia 2023 r.

CFNetwork

Dziękujemy anonimowemu badaczowi za pomoc.

Centrum sterowania

Dziękujemy za udzieloną pomoc: Adam M.

Wpis dodano 21 grudnia 2023 r.

CoreServices

Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).

dcerpc

Dziękujemy za udzieloną pomoc: Aleksandar Nikolic z Cisco Talos.

FaceTime

Dziękujemy za udzieloną pomoc: Sajan Karki.

file_cmds

Dziękujemy za udzieloną pomoc: Lukas Zronek.

File Quarantine

Dziękujemy za udzieloną pomoc: Koh M. Nakagawa z FFRI Security, Inc.

Wpis dodano 1 maja 2023 r.

Git

Dziękujemy za udzieloną pomoc:

Heimdal

Dziękujemy za udzieloną pomoc: Evgeny Legerov z Intevydis.

ImageIO

Dziękujemy za udzieloną pomoc: Meysam Firouzi @R00tkitSMM.

Kernel

Dziękujemy za udzieloną pomoc: Tim Michaud (@TimGMichaud) z Moveworks.ai.

Wpis dodano 16 lipca 2024 r.

Poczta

Dziękujemy za udzieloną pomoc: Chen Zhang, Fabian Ising z FH Münster University of Applied Sciences, Damian Poddebniak z FH Münster University of Applied Sciences, Tobias Kappert z Münster University of Applied Sciences, Christoph Saatjohann z Münster University of Applied Sciences, Sebast i Merlin Chlosta z CISPA Helmholtz Center for Information Security.

NSOpenPanel

Dziękujemy za udzieloną pomoc: Alexandre Colucci (@timacfr).

Password Manager

Dziękujemy za udzieloną pomoc: OCA Creations LLC, Sebastian S. Andersen.

Wpis dodano 1 maja 2023 r.

quarantine

Dziękujemy za udzieloną pomoc: Koh M. Nakagawa z FFRI Security, Inc.

Pobieranie w przeglądarce Safari

Dziękujemy za udzieloną pomoc: Andrew Gonzalez.

WebKit

Dziękujemy anonimowemu badaczowi za pomoc.

Inspektor www WebKit

Dziękujemy za udzieloną pomoc: Dohyun Lee (@l33d0hyun) i crixer (@pwning_me) z SSD Labs.

Wi-Fi

Dziękujemy anonimowemu badaczowi za pomoc.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: