Despre conținutul de securitate din macOS Sonoma 14.2
Acest document descrie conținutul de securitate din macOS Sonoma 14.2.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Sonoma 14.2
Lansare: 11 decembrie 2023
Accessibility
Disponibilitate pentru: macOS Sonoma
Impact: câmpurile de text securizate pot fi afișate prin Tastatura de accesibilitate când se utilizează o tastatură fizică
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-42874: Don Clarke
Accessibility
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-42937: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)
Intrare adăugată pe 22 ianuarie 2024
Accounts
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate accesa informații despre contactele unui utilizator
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42894: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)
AppleGraphicsControl
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2023-42901: Ivan Fratric (Google Project Zero)
CVE-2023-42902: Ivan Fratric (Google Project Zero) și Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
CVE-2023-42912: Ivan Fratric (Google Project Zero)
CVE-2023-42903: Ivan Fratric (Google Project Zero)
CVE-2023-42904: Ivan Fratric (Google Project Zero)
CVE-2023-42905: Ivan Fratric (Google Project Zero)
CVE-2023-42906: Ivan Fratric (Google Project Zero)
CVE-2023-42907: Ivan Fratric (Google Project Zero)
CVE-2023-42908: Ivan Fratric (Google Project Zero)
CVE-2023-42909: Ivan Fratric (Google Project Zero)
CVE-2023-42910: Ivan Fratric (Google Project Zero)
CVE-2023-42911: Ivan Fratric (Google Project Zero)
CVE-2023-42926: Ivan Fratric (Google Project Zero)
AppleVA
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42882: Ivan Fratric (Google Project Zero)
AppleVA
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42881: Ivan Fratric (Google Project Zero)
Intrare adăugată pe 12 decembrie 2023
Archive Utility
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o problemă printr-o manipulare îmbunătățită a fișierelor temporare.
CVE-2023-42896: Mickey Jin (@patch1t)
Intrare adăugată pe 22 martie 2024
AVEVideoEncoder
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42884: un cercetător anonim
Bluetooth
Disponibilitate pentru: macOS Sonoma
Impact: un atacator cu o poziție privilegiată în rețea poate injecta apăsări de taste prin falsificarea unei tastaturi
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-45866: Marc Newlin (SkySafe)
CoreMedia Playback
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42900: Mickey Jin (@patch1t)
CoreServices
Disponibilitate pentru: macOS Sonoma
Impact: un utilizator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
curl
Disponibilitate pentru: macOS Sonoma
Impact: mai multe probleme în curl
Descriere: mai multe probleme au fost rezolvate prin actualizarea curl la versiunea 8.4.0.
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
Intrare adăugată pe 22 ianuarie 2024, actualizată pe 13 februarie 2024
DiskArbitration
Disponibilitate pentru: macOS Sonoma
Impact: un proces poate obține privilegii de administrator fără autentificarea corespunzătoare
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42931: Yann GASCUEL de la Alter Solutions
Intrare adăugată pe 22 martie 2024
FileURL
Disponibilitate pentru: macOS Sonoma
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-42892: Anthony Cruz @App Tyrant Corp
Intrare adăugată pe 22 martie 2024
Find My
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42922: Wojciech Regula (SecuRing) (wojciechregula.blog)
ImageIO
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42898: Zhenjiang Zhao de la Pangu Team, Qianxin și Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM și Junsung Lee
Intrare actualizată pe 22 martie 2024
ImageIO
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42888: Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
Intrare adăugată pe 22 ianuarie 2024
IOKit
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate monitoriza apăsările de taste fără permisiunea utilizatorului
Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.
CVE-2023-42891: un cercetător anonim
IOUSBDeviceFamily
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) STAR Labs SG Pte. Ltd.
Intrare adăugată pe 22 martie 2024
Kernel
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate evada din sandbox
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de la Synacktiv (@Synacktiv)
Libsystem
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.
CVE-2023-42893
Intrare adăugată pe 22 martie 2024
Model I/O
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-3618
Intrare adăugată pe 22 martie 2024
ncurses
Disponibilitate pentru: macOS Sonoma
Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
NSOpenPanel
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate citi fișiere arbitrare
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2023-42887: Ron Masas (BreakPoint.sh)
Intrare adăugată pe 22 ianuarie 2024
Sandbox
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42936: Csaba Fitzl (@theevilbit) de la OffSec
Intrare adăugată pe 22 martie 2024, actualizată pe 16 iulie 2024
Share Sheet
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă de confidențialitate prin mutarea datelor sensibile într-o locație protejată.
CVE-2023-40390: Csaba Fitzl (@theevilbit) de la Offensive Security și Mickey Jin (@patch1t)
Intrare adăugată pe 22 martie 2024
SharedFileList
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42842: un cercetător anonim
Shell
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Intrare adăugată pe 22 martie 2024
System Settings
Disponibilitate pentru: macOS Sonoma
Impact: sesiunile de login de la distanță pot obține permisiuni de acces complet la disc
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-42913: Mattie Behrens și Joshua Jewett (@JoshJewett33)
Intrare adăugată pe 22 martie 2024
TCC
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate evada din sandbox
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2023-42947: Zhongquan Li (@Guluisacat) de la Dawn Security Lab (JingDong)
Intrare adăugată pe 22 martie 2024
Transparency
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: problema a fost remediată prin îmbunătățirea restricției accesului la containerul de date
CVE-2023-40389: Csaba Fitzl (@theevilbit) din cadrul Offensive Security și Joshua Jewett (@JoshJewett33)
Intrare adăugată pe 16 iulie 2024
Vim
Disponibilitate pentru: macOS Sonoma
Impact: deschiderea unui fișier creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: această problemă a fost rezolvată prin actualizarea la versiunea Vim 9.0.1969.
CVE-2023-5344
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de la 360 Vulnerability Research Institute și rushikesh nandedkar
Intrare adăugată pe 22 martie 2024
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unui conținut web poate cauza o refuzare a serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Intrare adăugată pe 22 martie 2024
Alte mențiuni
Memoji
Dorim să-i mulțumim lui Jerry Tenenbaum pentru asistența acordată.
WebSheet
Dorim să îi mulțumim lui Paolo Ruggero de la e-phors S.p.A. (compania A FINCANTIERI S.p.A.) pentru asistența acordată.
Intrare adăugată pe 22 martie 2024
Wi-Fi
Dorim să le mulțumim lui Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab) pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.