Despre conținutul de securitate din macOS Ventura 13.6.1
Acest document descrie conținutul de securitate din macOS Ventura 13.6.1.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la Securitatea produselor Apple.
macOS Ventura 13.6.1
Lansare: 25 octombrie 2023
CoreAnimation
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40449: Tomi Tokics (@tomitokics) de la iTomsn0w
Core Recents
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost rezolvată prin curățarea înregistrărilor
CVE-2023-42823
Intrare adăugată la 16 februarie 2024
FileProvider
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate cauza o refuzare a serviciului clienților Endpoint Security
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-42854: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)
Find My
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-40413: Adam M.
Foundation
Disponibilitate pentru: macOS Ventura
Impact: un site web poate avea acces la date sensibile despre utilizatori atunci când rezolvă linkurile simbolice
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.
CVE-2023-42844: Ron Masas de la BreakPoint.SH
Image Capture
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
Disponibilitate pentru: macOS Ventura
Impact: procesarea unei imagini poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40416: JZ
ImageIO
Disponibilitate pentru: macOS Ventura
Impact: procesarea unei imagini create cu rea intenție poate cauza alterarea segmentului
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2023-42848: JZ
Intrare adăugată la 16 februarie 2024
IOTextEncryptionFamily
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40423: un cercetător anonim
iperf3
Disponibilitate pentru: macOS Ventura
Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-38403
Kernel
Disponibilitate pentru: macOS Ventura
Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite atenuări ale memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42849: Linus Henze (Pinauten GmbH) (pinauten.de)
libc
Disponibilitate pentru: macOS Ventura
Impact: procesarea de date introduse create cu rea intenție poate duce la executarea unui cod arbitrar la aplicațiile instalate de utilizator
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40446: inooo
Intrare adăugată la 3 noiembrie 2023
libxpc
Disponibilitate pentru: macOS Ventura
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.
CVE-2023-42942: Mickey Jin (@patch1t)
Intrare adăugată la 16 februarie 2024
Model I/O
Disponibilitate pentru: macOS Ventura
Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42856: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative
PackageKit
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) și Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Intrare adăugată la 16 februarie 2024
PackageKit
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42840: Mickey Jin (@patch1t) și Csaba Fitzl (@theevilbit) de la Offensive Security
Intrare adăugată la 16 februarie 2024
PackageKit
Disponibilitate pentru: macOS Ventura
Impact: o aplicație ar putea să ocolească anumite preferințe de confidențialitate
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42889: Mickey Jin (@patch1t)
Intrare adăugată la 16 februarie 2024
PackageKit
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-42853: Mickey Jin (@patch1t)
Intrare adăugată la 16 februarie 2024
PackageKit
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) de la FFRI Security, Inc.
Intrare adăugată la 16 februarie 2024
Passkeys
Disponibilitate pentru: macOS Ventura
Impact: un atacator poate avea acces la cheile de logare fără autentificare
Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.
CVE-2023-40401: un cercetător anonim și weize she
Pro Res
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu și Guang Gong de la 360 Vulnerability Research Institute
Pro Res
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) și happybabywu și Guang Gong de la 360 Vulnerability Research Institute
Intrare adăugată la 16 februarie 2024
SQLite
Disponibilitate pentru: macOS Ventura
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2023-36191
Intrare adăugată la 16 februarie 2024
talagent
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2023-40421: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)
Weather
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-41254: Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România
WindowServer
Disponibilitate pentru: macOS Ventura
Impact: un site web ar putea accesa microfonul fără afișarea indicatorului de utilizare a microfonului
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-41975: un cercetător anonim
WindowServer
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42858: un cercetător anonim
Intrare adăugată la 16 februarie 2024
Alte mențiuni
GPU Drivers
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
libarchive
Dorim să-i mulțumim lui Bahaa Naamneh pentru asistența acordată.
libxml2
Dorim să le mulțumim lui OSS-Fuzz și lui Ned Williamson (Google Project Zero) pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.