Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
macOS Ventura 13.3
Wydano 27 marca 2023 r.
AMD
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2023-32436: ABC Research s.r.o.
Wpis dodano 31 października 2023 r.
AMD
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2023-27968: ABC Research s.r.o.
CVE-2023-28209: ABC Research s.r.o.
CVE-2023-28210: ABC Research s.r.o.
CVE-2023-28211: ABC Research s.r.o.
CVE-2023-28212: ABC Research s.r.o.
CVE-2023-28213: ABC Research s.r.o.
CVE-2023-28214: ABC Research s.r.o.
CVE-2023-28215: ABC Research s.r.o.
CVE-2023-32356: ABC Research s.r.o.
Wpis dodano 5 września 2023 r.
Apple Neural Engine
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2023-23532: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
Dostępne dla: systemu macOS Ventura
Zagrożenie: użytkownik może uzyskać dostęp do chronionych części systemu plików.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-23527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2023-27931: Mickey Jin (@patch1t)
AppleScript
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie złośliwie spreparowanego pliku binarnego AppleScript może spowodować nieoczekiwane zakończenie działania aplikacji lub ujawnienie pamięci procesowej.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-28179: Mickey Jin (@patch1t)
Wpis dodano 1 sierpnia 2023 r.
App Store
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-42830: anonimowy badacz
Wpis dodano 21 grudnia 2023 r.
Archive Utility
Dostępne dla: systemu macOS Ventura
Zagrożenie: archiwum może być zdolne do obejścia zabezpieczenia Gatekeeper.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) z Red Canary, Chan Shue Long i Csaba Fitzl (@theevilbit) z Offensive Security
Wpis uaktualniono 5 września 2023 r.
Calendar
Dostępne dla: systemu macOS Ventura
Zagrożenie: zaimportowanie złośliwie spreparowanego zaproszenia do kalendarza może spowodować skryte wyprowadzanie informacji o użytkowniku
Opis: naprawiono wiele błędów sprawdzania poprawności przez poprawienie procesu oczyszczania danych wejściowych.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Wpis uaktualniono 5 września 2023 r.
Camera
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja w piaskownicy może być w stanie ustalić, która aplikacja korzysta obecnie z kamery.
Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących obserwowalności stanów aplikacji.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
Carbon Core
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie odczytywać arbitralnie wybrane pliki.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-27955: JeongOhKyea
CommCenter
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-27936: Tingting Yin z Tsinghua University
CoreCapture
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-28181: Tingting Yin z Tsinghua University
Crash Reporter
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2023-32426: Junoh Lee z Theori
Wpis dodano 5 września 2023 r.
curl
Dostępne dla: systemu macOS Ventura
Zagrożenie: wiele błędów w komponentach curl.
Opis: naprawiono liczne błędy przez uaktualnienie komponentów curl.
CVE-2022-43551
CVE-2022-43552
dcerpc
Dostępne dla: systemu macOS Ventura
Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: rozwiązano problem z inicjalizacją pamięci.
CVE-2023-27934: Aleksandar Nikolic z Cisco Talos
Wpis uaktualniono 8 czerwca 2023 r.
dcerpc
Dostępne dla: systemu macOS Ventura
Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie spowodować atak typu „odmowa usługi”.
Opis: usunięto błąd powodujący atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.
CVE-2023-28180: Aleksandar Nikolic z Cisco Talos
dcerpc
Dostępne dla: systemu macOS Ventura
Zagrożenie: użytkownik zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2023-27935: Aleksandar Nikolic z Cisco Talos
dcerpc
Dostępne dla: systemu macOS Ventura
Zagrożenie: użytkownik zdalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-27953: Aleksandar Nikolic z Cisco Talos
CVE-2023-27958: Aleksandar Nikolic z Cisco Talos
DesktopServices
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może ominąć kontrole funkcji Gatekeeper.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2023-40433: Mikko Kenttälä (@Turmio_ ) z SensorFu
Wpis dodano 21 grudnia 2023 r.
FaceTime
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem z prywatnością przez przeniesienie poufnych danych do bezpieczniejszej lokalizacji.
CVE-2023-28190: Joshua Jones
Find My
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-23537: Adam M.
CVE-2023-28195: Adam M.
Wpis dodano 5 września 2023 r., uaktualniono 21 grudnia 2023 r.
FontParser
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-27956: Ye Zhang (@VAR10CK) z Baidu Security
Wpis uaktualniono 31 października 2023 r.
FontParser
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie Pliku czcionki może doprowadzić do wykonania dowolnego kodu
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-32366: Ye Zhang (@VAR10CK) z Baidu Security
Wpis dodano 31 października 2023 r.
Foundation
Dostępne dla: systemu macOS Ventura
Zagrożenie: przeprowadzenie analizy złośliwie spreparowanego pliku plist może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu.
Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-27937: anonimowy badacz
iCloud
Dostępne dla: systemu macOS Ventura
Zagrożenie: plik z folderu Udostępnione przeze mnie w iCloud może być zdolny do obejścia zabezpieczenia Gatekeeper.
Opis: ten problem został rozwiązany przez dodatkowe sprawdzanie przez Gatekeeper plików pobranych z folderu Udostępnione przeze mnie w iCloud.
CVE-2023-23526: Jubaer Alnazi z TRS Group of Companies
Identity Services
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do informacji o kontaktach użytkownika.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-27928: Csaba Fitzl (@theevilbit) z Offensive Security
ImageIO
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie obrazu może doprowadzić do ujawnienia pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-27939: jzhu w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2023-27947: Meysam Firouzi (@R00tkitSMM) z Mbition Mercedes-Benz Innovation Lab
CVE-2023-27948: Meysam Firouzi (@R00tkitSMM) z Mbition mercedes-benz innovation lab
CVE-2023-42862: Meysam Firouzi (@R00tkitSMM) z Mbition Mercedes-Benz Innovation Lab
CVE-2023-42865: jzhu w ramach programu Zero Day Initiative firmy Trend Micro i Meysam Firouzi (@R00tkitSMM) z Mbition Mercedes-Benz Innovation Lab
Wpis dodano 1 sierpnia 2023 r., uaktualniono 21 grudnia 2023 r.
ImageIO
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-23535: ryuzaki
ImageIO
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) z Mbition Mercedes-Benz Innovation Lab i jzhu w ramach programu Zero Day Initiative firmy Trend Micro
ImageIO
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2023-27957: Yiğit Can YILMAZ (@yilmazcanyigit)
IOAcceleratorFamily
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
CVE-2023-32378: Murray Mike
Wpis dodano 31 października 2023 r.
Kernel
Dostępne dla: systemu macOS Ventura
Zagrożenie: użytkownik może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten problem naprawiono przez poprawienie zarządzania stanem.
CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.
Wpis dodano 5 września 2023 r.
Kernel
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Wpis dodano 1 października 2023 r., uaktualniono 31 października 2023 r.
Kernel
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2023-23536: Félix Poulin-Bélanger i David Pan Ogea
Wpis dodano 1 maja 2023 r., uaktualniono 31 października 2023 r.
Kernel
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2023-23514: Xinru Chi z Pangu Lab i Ned Williamson z Google Project Zero
CVE-2023-27969: Adam Doupé z ASU SEFCOM
Kernel
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja z uprawnieniami użytkownika root może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-27933: sqrtpwn
Kernel
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
LaunchServices
Dostępne dla: systemu macOS Ventura
Zagrożenie: pliki pobrane z Internetu mogą nie mieć zastosowanej flagi kwarantanny.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2023-27943: anonimowy badacz, Brandon Dalton (@partyD0lphin) z Red Canary, Milan Tenk i Arthur Valiev z F-Secure Corporation
Wpis uaktualniono 31 października 2023 r.
LaunchServices
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2023-23525: Mickey Jin (@patch1t)
libc
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2023-40383: Mickey Jin (@patch1t)
Wpis dodano 31 października 2023 r.
libpthread
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.
CVE-2023-41075: Zweig z Kunlun Lab
Wpis dodano 21 grudnia 2023 r.
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie wyświetlić poufne informacje.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-28189: Mickey Jin (@patch1t)
Wpis dodano 1 maja 2023 r.
Messages
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.
CVE-2023-28197: Joshua Jones
Wpis dodano 31 października 2023 r.
Model I/O
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie obrazu może doprowadzić do ujawnienia pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-27950: Mickey Jin (@patch1t)
Wpis dodano 5 września 2023 r.
Model I/O
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
Dostępne dla: systemu macOS Ventura
Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie sfałszować serwer VPN skonfigurowany z uwierzytelnianiem obejmującym tylko EAP na urządzeniu.
Opis: ten błąd naprawiono przez ulepszenie uwierzytelniania.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2023-23538: Mickey Jin (@patch1t)
CVE-2023-27962: Mickey Jin (@patch1t)
Photos
Dostępne dla: systemu macOS Ventura
Zagrożenie: zdjęcia należące do albumu Ukryte zdjęcia mogły być przeglądane bez uwierzytelniania za pomocą funkcji Wyszukiwanie wizualne.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2023-23523: developStorm
Podcast
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-27942: Mickey Jin (@patch1t)
Quick Look
Dostępne dla: systemu macOS Ventura
Zagrożenie: witryna internetowa może być w stanie ujawnić poufne informacje użytkownika.
Opis: zmieniono procedury obsługi błędów, aby nie ujawniać poufnych informacji.
CVE-2023-32362: Khiem Tran
Wpis dodano 5 września 2023 r.
Safari
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może ominąć kontrole funkcji Gatekeeper.
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2023-27952: Csaba Fitzl (@theevilbit) z Offensive Security
Sandbox
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa of FFRI Security, Inc. i Csaba Fitzl (@theevilbit) z Offensive Security
Sandbox
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
SharedFileList
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-27966: Masahiro Kawada (@kawakatz) z GMO Cybersecurity by Ierae
Wpis dodano 1 maja 2023 r, uaktualniono 1 sierpnia 2023 r.
Shortcuts
Dostępne dla: systemu macOS Ventura
Zagrożenie: skrót może używać poufnych danych do wykonywania pewnych czynności bez monitowania użytkownika.
Opis: błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania uprawnień.
CVE-2023-27963: Jubaer Alnazi Jabin z TRS Group Of Companies oraz Wenchao Li i Xiaolong Bai z Alibaba Group
System Settings
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-23542: Adam M.
Wpis uaktualniono 5 września 2023 r.
System Settings
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: usunięto błąd uprawnień przez poprawienie procedury sprawdzania poprawności.
CVE-2023-28192: Guilherme Rambo z Best Buddy Apps (rambo.codes)
TCC
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2023-27931: Mickey Jin (@patch1t)
TextKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-28188: Xin Huang (@11iaxH)
Wpis dodano 5 września 2023 r.
Vim
Dostępne dla: systemu macOS Ventura
Zagrożenie: liczne błędy w aplikacji Vim.
Opis : naprawiono liczne błędy przez uaktualnienie biblioteki Vim do wersji 9.0.1191.
CVE-2023-0049
CVE-2023-0051
CVE-2023-0054
CVE-2023-0288
CVE-2023-0433
CVE-2023-0512
WebKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: może wystąpić błąd podczas blokowania domen z symbolami wieloznacznymi przez reguły Content Security Policy.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken z imec-DistriNet, KU Leuven
Wpis dodano 5 września 2023 r.
WebKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 1 sierpnia 2023 r.
WebKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetwarzanie zawartości internetowej mogło spowodować wykonanie dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.7.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) i Valentin Pashkov z Kaspersky
Wpis dodano 21 czerwca 2023 r., uaktualniono 1 sierpnia 2023 r.
WebKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ominąć zasadę tego samego pochodzenia.
Opis: ten problem naprawiono przez poprawienie zarządzania stanem.
CVE-2023-27932: anonimowy badacz
WebKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: witryna internetowa może być w stanie ujawnić poufne informacje użytkownika.
Opis: ten problem rozwiązano przez usunięcie informacji o źródle.
CVE-2023-27954: anonimowy badacz
WebKit
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 249434
CVE-2014-1745: anonimowy badacz
Wpis dodano 21 grudnia 2023 r.
WebKit PDF
Dostępne dla: systemu macOS Ventura
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.
WebKit Bugzilla: 249169
CVE-2023-32358: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 1 sierpnia 2023 r.
WebKit Web Inspector
Dostępne dla: systemu macOS Ventura
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: ten problem naprawiono przez poprawienie zarządzania stanem.
CVE-2023-28201: Dohyun Lee (@l33d0hyun) i crixer (@pwning_me) z SSD Labs
Wpis dodano 1 maja 2023 r.
XPC
Dostępne dla: systemu macOS Ventura
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: ten błąd naprawiono za pomocą nowego uprawnienia.
CVE-2023-27944: Mickey Jin (@patch1t)
Dodatkowe podziękowania
Activation Lock
Dziękujemy za udzieloną pomoc: Christian Mina.
AppleMobileFileIntegrity
Dziękujemy za udzieloną pomoc: Wojciech Reguła (@_r3ggi) z SecuRing.
Wpis dodano 21 grudnia 2023 r.
AppleScript
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).
Calendar UI
Dziękujemy za udzieloną pomoc: Rafi Andhika Galuh (@rafipiun).
Wpis dodano 1 sierpnia 2023 r.
CFNetwork
Dziękujemy anonimowemu badaczowi za pomoc.
Centrum sterowania
Dziękujemy za udzieloną pomoc: Adam M.
Wpis dodano 21 grudnia 2023 r.
CoreServices
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).
dcerpc
Dziękujemy za udzieloną pomoc: Aleksandar Nikolic z Cisco Talos.
FaceTime
Dziękujemy za udzieloną pomoc: Sajan Karki.
file_cmds
Dziękujemy za udzieloną pomoc: Lukas Zronek.
File Quarantine
Dziękujemy za udzieloną pomoc: Koh M. Nakagawa z FFRI Security, Inc.
Wpis dodano 1 maja 2023 r.
Git
Dziękujemy za udzieloną pomoc:
Heimdal
Dziękujemy za udzieloną pomoc: Evgeny Legerov z Intevydis.
ImageIO
Dziękujemy za udzieloną pomoc: Meysam Firouzi @R00tkitSMM.
Poczta
Dziękujemy za udzieloną pomoc: Chen Zhang, Fabian Ising z FH Münster University of Applied Sciences, Damian Poddebniak z FH Münster University of Applied Sciences, Tobias Kappert z Münster University of Applied Sciences, Christoph Saatjohann z Münster University of Applied Sciences, Sebast i Merlin Chlosta z CISPA Helmholtz Center for Information Security.
NSOpenPanel
Dziękujemy za udzieloną pomoc: Alexandre Colucci (@timacfr).
Password Manager
Dziękujemy za udzieloną pomoc: OCA Creations LLC, Sebastian S. Andersen.
Wpis dodano 1 maja 2023 r.
quarantine
Dziękujemy za udzieloną pomoc: Koh M. Nakagawa z FFRI Security, Inc.
Safari Downloads
Dziękujemy za udzieloną pomoc: Andrew Gonzalez.
WebKit
Dziękujemy anonimowemu badaczowi za pomoc.
Inspektor www WebKit
Dziękujemy za udzieloną pomoc: Dohyun Lee (@l33d0hyun) i crixer (@pwning_me) z SSD Labs.
Wi-Fi
Dziękujemy za udzieloną pomoc: anonimowy badacz.