Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Ventura 13.5
Publicat pe 24 iulie 2023
Accounts
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-40439: Kirin (@Pwnrin)
Intrare adăugată la 21 decembrie 2023
AMD
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.
CVE-2023-38616: ABC Research s.r.o.
Adăugare intrare: marți, miercuri, 6 septembrie 2023
Apple Neural Engine
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-34425: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Adăugare intrare: 27 iulie 2023
Apple Neural Engine
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-38580: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate determina locația curentă a unui utilizator
Descriere: o problemă de downgrade care afectează computerele Mac cu procesor Intel a fost rezolvată prin restricții suplimentare pentru semnarea codului.
CVE-2023-36862: Mickey Jin (@patch1t)
AppSandbox
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Assets
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-40392: Wojciech Regula de la SecuRing (wojciechregula.blog)
Adăugare intrare: marți, miercuri, 6 septembrie 2023
crontabs
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-42828: Erhad Husovic
Intrare adăugată la 21 decembrie 2023
CUPS
Disponibilitate pentru: macOS Ventura
Impact: un utilizator cu poziție privilegiată în rețea poate scurge informații sensibile
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-34241: Sei K.
Adăugare intrare: 27 iulie 2023
curl
Disponibilitate pentru: macOS Ventura
Impact: mai multe probleme în curl
Descriere: mai multe probleme au fost rezolvate prin actualizarea curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2023-32416: Wojciech Regula de la SecuRing (wojciechregula.blog)
Find My
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-40437: Kirin (@Pwnrin) și Wojciech Regula (SecuRing) (wojciechregula.blog)
Intrare adăugată la 21 decembrie 2023
Grapher
Disponibilitate pentru: macOS Ventura
Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-32418: Bool de la YunShangHuaAn(云上华ध)
CVE-2023-36854: Bool de la YunShangHuaAn(云上华ध)
ImageIO
Disponibilitate pentru: macOS Ventura
Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2022-3970: problemă găsită de OSS-Fuzz
Adăugare intrare: marți, miercuri, 6 septembrie 2023
Kernel
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Adăugare intrare: marți, miercuri, 6 septembrie 2023
Kernel
Disponibilitate pentru: macOS Ventura
Impact: un utilizator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2023-38590: Zweig de la Kunlun Lab
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2023-36495: 香农的三蹦子 (Pangu Lab)
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2023-38604: un cercetător anonim
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) de la STAR Labs SG Pte. Ltd.
CVE-2023-38261: un cercetător anonim
CVE-2023-38424: Certik Skyfall Team
CVE-2023-38425: Certik Skyfall Team
Kernel
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-32381: un cercetător anonim
CVE-2023-32433: Zweig de la Kunlun Lab
CVE-2023-35993: Kaitao Xie și Xiaolong Bai (Alibaba Group)
Kernel
Disponibilitate pentru: macOS Ventura
Impact: un utilizator poate să acorde privilegii superioare
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-38410: un cercetător anonim
Kernel
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să poată modifica informații sensibile privind starea kernelului. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată în mod activ împotriva versiunilor de iOS lansate înainte de iOS 15.7.1.
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) și Boris Larin (@oct0xor) de la Kaspersky
Kernel
Disponibilitate pentru: macOS Ventura
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-38603: Zweig de la Kunlun Lab
libxpc
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2023-38565: Zhipeng Huo (@R3dF09) de la Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-38593: Noah Roskin-Frazee
Disponibilitate pentru: macOS Ventura
Impact: un e-mail criptat S/MIME poate fi trimis din greșeală necriptat
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării e-mailurilor criptate S/MIME.
CVE-2023-40440: Taavi Eomäe (Zone Media OÜ)
Intrare adăugată la 21 decembrie 2023
Model I/O
Disponibilitate pentru: macOS Ventura
Impact: procesarea unui model 3D poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-38258: Mickey Jin (@patch1t)
CVE-2023-38421: Mickey Jin (@patch1t) și Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
Actualizare intrare: 27 iulie 2023
Model I/O
Disponibilitate pentru: macOS Ventura
Impact: procesarea unei imagini poate cauza divulgarea memoriei de proces
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2023-1916
Intrare adăugată la 21 decembrie 2023
Music
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Adăugare intrare: 27 iulie 2023
ncurses
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate cauza închiderea neașteptată a aplicației sau executarea arbitrară a codului
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2023-29491: Jonathan Bar Or (Microsoft), Emanuele Cozzi (Microsoft) și Michael Pearse (Microsoft)
Adăugare intrare: marți, miercuri, 6 septembrie 2023
Net-SNMP
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-38601: Csaba Fitzl (@theevilbit) de la Offensive Security
Adăugare intrare: 27 iulie 2023
NSSpellChecker
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2023-32444: Mickey Jin (@patch1t)
Adăugare intrare: 27 iulie 2023
OpenLDAP
Disponibilitate pentru: macOS Ventura
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-2953: Sandipan Roy
OpenSSH
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să poată accesa parolele de acces SSH
Descriere: problema a fost rezolvată prin restricții suplimentare privind observabilitatea stărilor aplicațiilor.
CVE-2023-42829: James Duffy (mangoSecure)
Intrare adăugată la 21 decembrie 2023
PackageKit
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să ocolească anumite preferințe de confidențialitate
Descriere: a fost rezolvată o problemă de injectare prin îmbunătățirea validării intrării.
CVE-2023-38609: Michael Cowell
Adăugare intrare: 27 iulie 2023
PackageKit
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-38564: Mickey Jin (@patch1t)
PackageKit
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Securitate
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să poată amprenta utilizatorul
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-42831: James Duffy (mangoSecure)
Intrare adăugată la 21 decembrie 2023
Shortcuts
Disponibilitate pentru: macOS Ventura
Impact: o comandă rapidă poate să modifice configurările sensibile ale aplicației Comenzi rapide
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.
CVE-2023-32442: un cercetător anonim
sips
Disponibilitate pentru: macOS Ventura
Impact: procesarea unui fișier ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2023-32443: David Hoyt (Hoyt LLC)
Software Update
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Intrare adăugată la 21 decembrie 2023
SystemMigration
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-32429: Wenchao Li și Xiaolong Bai de la Hangzhou Orange Shield Information Technology Co., Ltd.
tcpdump
Disponibilitate pentru: macOS Ventura
Impact: un atacator cu poziție privilegiată în rețea poate executa un cod arbitrar
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2023-1801
Intrare adăugată la 21 decembrie 2023
Time Zone
Disponibilitate pentru: macOS Ventura
Impact: un utilizator poate citi informații care aparțin altui utilizator
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-32654: Matthew Loewen
Adăugare intrare: 27 iulie 2023
Vim
Disponibilitate pentru: macOS Ventura
Impact: probleme multiple în Vim
Descriere: mai multe probleme au fost rezolvate prin actualizarea Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Intrare adăugată la 21 decembrie 2023
Mementouri vocale
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.
CVE-2023-38608: Yiğit Can YILMAZ (@yilmazcanyigit), Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab), Kirin (@Pwnrin) și Yishu Wang
Intrare adăugată la 21 decembrie 2023
Weather
Disponibilitate pentru: macOS Ventura
Impact: o aplicație poate determina locația curentă a unui utilizator
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-38605: Adam M.
Adăugare intrare: marți, miercuri, 6 septembrie 2023
WebKit
Disponibilitate pentru: macOS Ventura
Impact: un atacator de la distanță poate cauza executarea unui cod javascript arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 257824
CVE-2023-40397: Johan Carlsson (joaxcar)
Adăugare intrare: marți, miercuri, 6 septembrie 2023
WebKit
Disponibilitate pentru: macOS Ventura
Impact: este posibil ca un site web să poată reuși să evite politica privind aceeași origine
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) de la Suma Soft Pvt. Ltd, Pune - India
WebKit
Disponibilitate pentru: macOS Ventura
Impact: un site web poate urmări informații sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin și Yuval Yarom
Adăugare intrare: 27 iulie 2023
WebKit
Disponibilitate pentru: macOS Ventura
Impact: procesarea unui document poate declanșa un atac asupra scripturilor de pe mai multe site-uri
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
Adăugare intrare: 27 iulie 2023
WebKit
Disponibilitate pentru: macOS Ventura
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
WebKit Bugzilla: 257331
CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) de la Suma Soft Pvt. Ltd, Pune - India), Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina și Lorenzo Veronese (TU Wien)
Adăugare intrare: 27 iulie 2023
WebKit
Disponibilitate pentru: macOS Ventura
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Bugzilla: 256573
CVE-2023-38595: un cercetător anonim, Jiming Wang, Jikai Ren
WebKit Bugzilla: 257387
CVE-2023-38600: anonim, în colaborare cu inițiativa Zero Day de la Trend Micro
WebKit
Disponibilitate pentru: macOS Ventura
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 258058
CVE-2023-38611: Francisco Alonso (@revskills)
WebKit
Disponibilitate pentru: macOS Ventura
Impact: procesarea conținutului web poate cauza executarea unui cod arbitrar. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 259231
CVE-2023-37450: un cercetător anonim
Această problemă a fost prima oară rezolvată în Rapid Security Response macOS Ventura 13.4.1 (c).
WebKit
Disponibilitate pentru: macOS Ventura
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 257684
CVE-2023-42866: Francisco Alonso (@revskills) și Junsung Lee
Intrare adăugată la 21 decembrie 2023
Model de procese WebKit
Disponibilitate pentru: macOS Ventura
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성(Junsung Lee) de la Cross Republic
WebKit Web Inspector
Disponibilitate pentru: macOS Ventura
Impact: procesarea conținutului web poate divulga informații sensibile
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Alte mențiuni
WebKit
Dorim să-i mulțumim lui Narendra Bhati (twitter.com/imnarendrabhati) (Suma Soft Pvt. Ltd, Pune - India) pentru asistența acordată.
Adăugare intrare: 27 iulie 2023
WebKit
Dorim să îi mulțumim lui 이준성(Junsung Lee) din cadrul Cross Republic pentru asistență.
Intrare adăugată la 21 decembrie 2023
WebRTC
Dorim să îi mulțumim unui cercetător anonim pentru asistență.