Despre conținutul de securitate din macOS Sonoma 14

Acest document descrie conținutul de securitate din macOS Sonoma 14.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

macOS Sonoma 14

Lansare: 26 septembrie 2023

Airport

Disponibilitate pentru: Mac Studio (2022 și modele ulterioare), iMac (2019 și modele ulterioare), Mac Pro (2019 și modele ulterioare), Mac mini (2018 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2018 și modele ulterioare), și iMac Pro (2017)

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă legată de permisiuni a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-40384: Adam M.

AMD

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2023-32377: ABC Research s.r.o.

AMD

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-38615: ABC Research s.r.o.

App Store

Impact: un atacator la distanță ar putea evada din sandboxul Web Content

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a protocoalelor.

CVE-2023-40448: w0wbox

Apple Neural Engine

Impact: o aplicație poate evada din sandbox

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-42969: pattern-f (@pattern_F_) de la Ant Security Light-Year Lab

Intrare adăugată pe 7 aprilie 2025

Apple Neural Engine

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Intrare actualizată pe 22 decembrie 2023

Apple Neural Engine

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2023-40410: Tim Michaud (@TimGMichaud) (Moveworks.ai)

AppleMobileFileIntegrity

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.

CVE-2023-42872: Mickey Jin (@patch1t)

Intrare adăugată pe 22 decembrie 2023

AppSandbox

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-42929: Mickey Jin (@patch1t)

Intrare adăugată pe 22 decembrie 2023

AppSandbox

Impact: o aplicație poate accesa atașamente din aplicația Notițe

Descriere: problema a fost remediată prin îmbunătățirea restricției accesului la containerul de date

CVE-2023-42925: Wojciech Reguła (@_r3ggi) și Kirin (@Pwnrin)

Intrare adăugată la 16 iulie 2024

Ask to Buy

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-38612: Chris Ross (Zoom)

Intrare adăugată pe 22 decembrie 2023

AuthKit

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-32361: Csaba Fitzl (@theevilbit) (Offensive Security)

Bluetooth

Impact: un atacator din apropiere ar putea devia scrierea într-o măsură limitată

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-35984: zer0k

Bluetooth

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Impact: o aplicație ar putea să ocolească anumite preferințe de confidențialitate

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Impact: procesarea unui fișier ar putea duce la o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

Intrare adăugată pe 22 decembrie 2023

bootp

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2023-41065: Adam M., respectiv Noah Roskin-Frazee și prof. Jason Lau (ZeroClicks.ai Lab)

Calendar

Impact: o aplicație ar putea accesa date din calendar salvate într-un director temporar

Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2023-29497: Kirin (@Pwnrin) și Yishu Wang

CFNetwork

Impact: este posibil ca o aplicație să nu poată executa funcția App Transport Security

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a protocoalelor.

CVE-2023-38596: Will Brattain (Trail of Bits)

Clock

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2023-42943: Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România

Intrare adăugată la 16 iulie 2024

ColorSync

Impact: o aplicație poate citi fișiere arbitrare

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-40406: JeongOhKyea (Theori)

CoreAnimation

Impact: procesarea unui conținut web poate cauza o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40420: 이준성(Junsung Lee) (Cross Republic)

Core Data

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2023-40528: Kirin (@Pwnrin) (NorthSea)

Intrare adăugată pe 22 ianuarie 2024

Core Image

Impact: o aplicație poate accesa poze editate salvate într-un director temporar

Descriere: a fost rezolvată o problemă printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2023-40438: Wojciech Regula (SecuRing) (wojciechregula.blog)

Intrare adăugată pe 22 decembrie 2023

CoreMedia

Impact: o extensie a camerei ar putea să acceseze vizualizarea camerei din alte aplicații decât aplicația pentru care a primit permisiunea

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor

CVE-2023-41994: Halle Winkler, Politepix @hallewinkler

Intrare adăugată pe 22 decembrie 2023

CUPS

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2023-40407: Sei K.

Dev Tools

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

Intrare actualizată pe 22 decembrie 2023

FileProvider

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-41980: Noah Roskin-Frazee și profesorul Jason Lau (Laboratorul ZeroClicks.ai)

FileProvider

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2023-40411: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab) și Csaba Fitzl (@theevilbit) (Offensive Security)

Intrare adăugată pe 22 decembrie 2023

Game Center

Impact: este posibil ca o aplicație să poată accesa contactele

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-40395: Csaba Fitzl (@theevilbit) (Offensive Security)

GPU Drivers

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40391: Antonio Zekic (@antoniozekic) (Dataflow Security)

GPU Drivers

Impact: procesarea unui conținut web poate cauza o refuzare a serviciului

Descriere: a fost rezolvată o problemă de epuizare a memoriei prin îmbunătățirea validării intrării.

CVE-2023-40441: Ron Masas (Imperva)

Graphics Drivers

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.

CVE-2023-42959: Murray Mike

Intrare adăugată la 16 iulie 2024

iCloud

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă legată de permisiuni a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-23495: Csaba Fitzl (@theevilbit) (Offensive Security)

iCloud Photo Library

Impact: o aplicație poate accesa Biblioteca foto a unui utilizator

Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.

CVE-2023-40434: Mikko Kenttälä (@Turmio_ ) (SensorFu)

Image Capture

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-41077: Mickey Jin (@patch1t)

Intrare adăugată pe 7 aprilie 2025

Image Capture

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

Intents

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2023-42961: Mickey Jin (@patch1t)

Intrare adăugată pe 7 aprilie 2025

IOAcceleratorFamily

Impact: un atacator ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2023-40436: Murray Mike

IOUserEthernet

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40396: echipa Skyfall de la Certik

Intrare adăugată la 16 iulie 2024

Kernel

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2023-41995: Certik Skyfall Team și pattern-f (@pattern_F_) (Laboratorul Ant Security Light-Year)

CVE-2023-42870: Zweig (Kunlun Lab)

Intrare actualizată pe 22 decembrie 2023

Kernel

Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite atenuări ale memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-41981: Linus Henze (Pinauten GmbH) (pinauten.de)

Kernel

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd.

Kernel

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de permisiune prin îmbunătățirea validării.

CVE-2023-40429: Michael (Biscuit) Thomas și 张师傅(@京东蓝军)

Kernel

Impact: un utilizator la distanță poate cauza executarea codului kernel

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) (MIT CSAIL)

Intrare adăugată pe 22 decembrie 2023

LaunchServices

Impact: o aplicație poate ocoli verificările Gatekeeper

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo) (Jamf Software) și un cercetător anonim

libpcap

Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2023-40400: Sei K.

libxpc

Impact: o aplicație poate șterge fișiere pentru care nu are permisiune

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-40454: Zhipeng Huo (@R3dF09) (Laboratorul Tencent Security Xuanwu) (xlab.tencent.com)

libxpc

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2023-41073: Zhipeng Huo (@R3dF09) (Laboratorul Tencent Security Xuanwu) (xlab.tencent.com)

libxslt

Impact: procesarea conținutului web poate divulga informații sensibile

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) (PK Security)

Maps

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-40427: Adam M. și Wojciech Regula (SecuRing) (wojciechregula.blog)

Maps

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-42957: Adam M. și Ron Masas de la BreakPoint Security Research

Intrare adăugată la 16 iulie 2024

Messages

Impact: o aplicație poate observa date de utilizator neprotejate

Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2023-32421: Meng Zhang (鲸落) (NorthSea), Ron Masas (BreakPoint Security Research), Brian McNulty, și Kishan Bagaria (Texts.com)

Model I/O

Impact: procesarea unui fișier ar putea duce la o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-42981: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

CVE-2023-42982: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

CVE-2023-42983: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

Intrare adăugată pe 7 aprilie 2025

Model I/O

Impact: procesarea unui fișier de poate cauza executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-42826: Michael DePlante (@izobashi) Zero Day Initiative (Trend Micro)

Intrare adăugată pe 19 octombrie 2023

Model I/O

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-42918: Mickey Jin (@patch1t)

Intrare adăugată la 16 iulie 2024

Music

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-40455: Zhipeng Huo (@R3dF09) (Laboratorul Tencent Security Xuanwu) (xlab.tencent.com)

Notes

Impact: o aplicație poate accesa atașamente din aplicația Notițe

Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Impact: a fost descoperită o vulnerabilitate în direcționarea de la distanță OpenSSHs

Descriere: această problemă a fost rezolvată prin actualizarea OpenSSH la versiunea 9.3p2

CVE-2023-38408: baba yaga, un cercetător anonim

Intrare adăugată pe 22 decembrie 2023

Passkeys

Impact: un atacator poate avea acces la cheile de logare fără autentificare

Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.

CVE-2023-40401: weize she și un cercetător anonim

Intrare adăugată pe 22 decembrie 2023

Photos

Impact: fotografiile din albumul Poze ascunse pot fi vizualizate fără autentificare

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2023-40393: un cercetător anonim, Berke Kırbaş și Harsh Jaiswal

Intrare adăugată pe 22 decembrie 2023

Photos

Impact: o aplicație poate accesa poze editate salvate într-un director temporar

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2023-42949: Kirin (@Pwnrin)

Intrare adăugată la 16 iulie 2024

Photos Storage

Impact: o aplicație cu privilegii de rădăcină poate accesa informații private

Descriere: o problemă de divulgare a informațiilor a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2023-42934: Wojciech Regula (SecuRing) (wojciechregula.blog)

Intrare adăugată pe 22 decembrie 2023

Power Management

Impact: un utilizator poate vizualiza conținut restricționat din ecranul de blocare

Descriere: a fost rezolvată o problemă legată de ecranul de blocare prin gestionarea îmbunătățită a stării.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi (George Mason University) și Billy Tabrizi

Intrare actualizată pe 22 decembrie 2023

Power Services

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2023-42977: Mickey Jin (@patch1t)

Intrare adăugată pe 7 aprilie 2025

Printing

Impact: o aplicație ar putea modifica setările imprimantei

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Intrare adăugată pe 22 decembrie 2023

Printing

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2023-41987: Kirin (@Pwnrin) și Wojciech Regula (SecuRing) (wojciechregula.blog)

Intrare adăugată pe 22 decembrie 2023

Pro Res

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40422: Tomi Tokics (@tomitokics) (iTomsn0w)

Safari

Impact: procesarea conținutului web poate divulga informații sensibile

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Impact: Safari poate salva poze într-o locație neprotejată

Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Impact: o aplicație poate identifica ce alte aplicații a instalat utilizatorul

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-35990: Adriatik Raci (Sentry Cybersecurity)

Safari

Impact: vizitarea unui site web care conține conținut rău intenționat poate duce la falsificarea interfeței de utilizator

Descriere: a fost rezolvată o problemă de gestionare a ferestrelor prin gestionarea îmbunătățită a stării.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) de la Suma Soft Pvt. Ltd, Pune (India)

Intrare actualizată pe 22 decembrie 2023

Sandbox

Impact: o aplicație cu privilegii de rădăcină poate accesa informații private

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2023-40425: Csaba Fitzl (@theevilbit) de la Offensive Security

Intrare adăugată pe 7 aprilie 2025

Sandbox

Impact: o aplicație poate suprascrie fișiere arbitrare

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Impact: o aplicație ar putea să acceseze volume detașabile fără consimțământul utilizatorului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Intrare adăugată pe 22 decembrie 2023

Sandbox

Impact: este posibil ca aplicațiile care nu trec verificările să fie lansate în continuare

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-41996: Mickey Jin (@patch1t) și Yiğit Can YILMAZ (@yilmazcanyigit)

Intrare adăugată pe 22 decembrie 2023

Screen Sharing

Impact: o aplicație ar putea să ocolească anumite preferințe de confidențialitate

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2023-41078: Zhipeng Huo (@R3dF09) (Laboratorul Tencent Security Xuanwu) (xlab.tencent.com)

Share Sheet

Impact: o aplicație poate accesa date sensibile înregistrate atunci când utilizatorul partajează un link

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Impact: o scurtătură poate fi capabilă să trimită date sensibile despre utilizator fără acordul acestuia

Descriere: problema a fost remediată prin adăugarea unei solicitări suplimentare a acordului utilizatorului.

CVE-2023-40541: Noah Roskin-Frazee (Laboratorul ZeroClicks.ai) și James Duffy (mangoSecure)

Shortcuts

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.

CVE-2023-41079: Ron Masas (BreakPoint.sh) și un cercetător anonim

Spotlight

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

Intrare adăugată pe 22 decembrie 2023

StorageKit

Impact: o aplicație poate citi fișiere arbitrare

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2023-41968: Mickey Jin (@patch1t) și James Hutchins

System Preferences

Impact: o aplicație poate ocoli verificările Gatekeeper

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-40450: Thijs Alkemade (@xnyhps) (Computest Sector 7)

System Settings

Impact: este posibil ca o parolă Wi-Fi să nu fie ștearsă la activarea unui Mac în Recuperare macOS

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2023-42948: Andrew Haggard

Intrare adăugată la 16 iulie 2024

TCC

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-38614: Brian McNulty, Csaba Fitzl (@theevilbit) de la Offensive Security

Intrare adăugată pe 7 aprilie 2025

TCC

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) și Csaba Fitzl (@theevilbit) (Offensive Security)

WebKit

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

WebKit Bugzilla: 249451

CVE-2023-39434: Francisco Alonso (@revskills) și Dohyun Lee (@l33d0hyun) (PK Security)

WebKit Bugzilla: 258992

CVE-2023-40414: Francisco Alonso (@revskills)

WebKit Bugzilla: 259583

CVE-2023-42970: 이준성(Junsung Lee) de la Cross Republic

Intrare actualizată pe 7 aprilie 2025

WebKit

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 256551

CVE-2023-41074: 이준성(Junsung Lee) (Cross Republic) și Jie Ding(@Lime) (HKUS3 Lab)

Intrare actualizată pe 22 decembrie 2023

WebKit

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 239758

CVE-2023-35074: Dong Jun Kim (@smlijun) și Jong Seong Kim (@nevul37) (AbyssLab) și zhunki

WebKit Bugzilla: 259606

CVE-2023-42875: 이준성(Junsung Lee)

Intrare actualizată pe 7 aprilie 2025

WebKit

Impact: procesarea conținutului web poate cauza executarea unui cod arbitrar. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ în raport cu versiunile de iOS lansate înainte de versiunea iOS 16.7.

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 261544

CVE-2023-41993: Bill Marczak (Citizen Lab, Munk School din cadrul Universității din Toronto) și Maddie Stone (Threat Analysis Group din cadrul Google)

WebKit

Impact: parola unui utilizator poate fi citită cu voce tare de VoiceOver

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

WebKit Bugzilla: 248717

CVE-2023-32359: Claire Houston

Intrare adăugată pe 22 decembrie 2023

WebKit

Impact: un atacator de la distanță ar putea să vizualizeze interogări DNS divulgate cu funcția Transmisie privată activată

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

WebKit Bugzilla: 257303

CVE-2023-40385: anonim

Intrare adăugată pe 22 decembrie 2023

WebKit

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: o problemă de corectitudine a fost rezolvată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 258592

CVE-2023-42833: Dong Jun Kim (@smlijun) și Jong Seong Kim (@nevul37) (AbyssLab)

Intrare adăugată pe 22 decembrie 2023

Wi-Fi

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin eliminarea codului vulnerabil.

CVE-2023-38610: Wang (Cyberserval)

Intrare adăugată pe 22 decembrie 2023

Windows Installer

Impact: este posibil ca o aplicație să ridice nivelul privilegiilor

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2023-41076: Mickey Jin (@patch1t)

Intrare adăugată pe 7 aprilie 2025

Windows Server

Impact: o aplicație poate extrage în mod neașteptat acreditările unui utilizator din câmpuri text securizate

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2023-41066: Un cercetător anonim, Jeremy Legendre de la MacEnhance și Felix Kratz

Intrare actualizată pe 22 decembrie 2023

XProtectFramework

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Alte mențiuni

Airport

Dorim să îi mulțumim lui Adam M., Noah Roskin-Frazee și profesorului Jason Lau (Laboratorul ZeroClicks.ai) pentru asistență.

AppKit

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

AppSandbox

Dorim să îi mulțumim lui Kirin (@Pwnrin) pentru asistența acordată.

Archive Utility

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.

Audio

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.

Bluetooth

Dorim să le mulțumim lui Jianjun Dai și Guang Gong de la 360 Vulnerability Research Institute pentru asistența acordată.

Books

Dorim să îi mulțumim lui Aapo Oksman (Nixu Cybersecurity) pentru asistența acordată.

Intrare adăugată pe 22 decembrie 2023

Control Center

Dorim să îi mulțumim lui Yiğit Can YILMAZ (@yilmazcanyigit) pentru asistență.

Intrare adăugată pe 22 decembrie 2023

Core Location

Dorim să îi mulțumim lui Wouter Hennen pentru asistență.

CoreMedia Playback

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.

CoreServices

Dorim să le mulțumim lui Thijs Alkemade (Computest Sector 7), Wojciech Reguła (@_r3ggi) (SecuRing) și unui cercetător anonim pentru asistență.

Intrare adăugată pe 22 decembrie 2023

Data Detectors UI

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology pentru asistență.

Find My

Dorim să le mulțumim lui Cher Scarlett și lui Imran Kočan pentru asistența acordată.

Intrare actualizată pe 7 aprilie 2025

Home

Dorim să-i mulțumim lui Jake Derouin (jakederouin.com) pentru asistența acordată.

IOGraphics

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

IOUserEthernet

Dorim să le mulțumim celor de la Certik Skyfall Team pentru asistență.

Intrare adăugată pe 22 decembrie 2023

Kernel

Dorim să îi mulțumim lui Bill Marczak de la The Citizen Lab din cadrul Munk School din cadrul Universității din toronto și lui Maddie Stone din cadrul Threat Analysis Group de la Google, lui Xinru Chi de la Pangu Lab, 永超王 pentru asistență.

libxml2

Dorim să le mulțumim lui OSS-Fuzz și lui Ned Williamson de la Google Project Zero pentru asistența acordată.

libxpc

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

libxslt

Dorim să îi mulțumim lui Dohyun Lee (@l33d0hyun) de la PK Security, OSS-Fuzz și lui Ned Williamson de la Google Project Zero pentru asistență.

Mail

Dorim să îi mulțumim lui Taavi Eomäe (Zone Media OÜ) pentru asistență.

Intrare adăugată pe 22 decembrie 2023

Menus

Dorim să îi mulțumim lui Matthew Denton (Google Chrome Security) pentru asistență.

Intrare adăugată pe 22 decembrie 2023

NSURL

Dorim să îi mulțumim lui Zhanpeng Zhao (行之), 糖豆爸爸(@晴天组织) pentru asistență.

PackageKit

Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) de la Offensive Security și unui cercetător anonim pentru asistență.

Photos

Dorim să îi mulțumim lui Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius și Paul Lurin pentru asistență.

Actualizare intrare: 16 iulie 2024

Reminders

Dorim să îi mulțumim lui Paweł Szafirowski pentru asistență.

Safari

Dorim să îi mulțumim lui Kang Ali de la Punggawa Cyber Security pentru asistență.

Sandbox

Dorim să le mulțumim lui Wenchao Li și lui Xiaolong Bai de la Alibaba Group, precum și lui Yiğit Can YILMAZ (@yilmazcanyigit) pentru asistența acordată.

Intrare actualizată pe 7 aprilie 2025

SharedFileList

Dorim să le mulțumim lui Christopher Lopez - @L0Psec și Kandji, Leo Pitt (Zoom Video Communications), Masahiro Kawada (@kawakatz) (GMO Cybersecurity by Ierae) și Ross Bingham (@PwnDexter) pentru asistență.

Intrare actualizată pe 22 decembrie 2023

Shortcuts

Dorim să le mulțumim lui Alfie CG, Christian Basting (Bundesamt für Sicherheit in der Informationstechnik), Cristian Dinca (Colegiul Național de Informatică „Tudor Vianu”, România), Giorgos Christodoulidis, Jubaer Alnazi (TRS Group Of Companies), KRISHAN KANT DWIVEDI (@xenonx7) și Matthew Butler pentru asistența acordată.

Intrare actualizată pe 24 aprilie 2024

Software Update

Dorim să-i mulțumim lui Omar Siman pentru asistența acordată.

Spotlight

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College Of Technology Bhopal și lui Dawid Pałuska pentru asistență.

StorageKit

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.

Video Apps

Dorim să-i mulțumim lui James Duffy (mangoSecure) pentru asistența acordată.

WebKit

Dorim să le mulțumim lui Khiem Tran și lui Narendra Bhati de la Suma Soft Pvt. Ltd, Pune (India) și unui cercetător anonim pentru asistență.

WebRTC

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Wi-Fi

Dorim să le mulțumim lui Adam M. și Wang Yu (Cyberserval) pentru asistență.

Intrare actualizată pe 22 decembrie 2023

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 14 aprilie 2025