Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Sonoma 14.2
Lansare: 11 decembrie 2023
Accessibility
Disponibilitate pentru: macOS Sonoma
Impact: câmpurile de text securizate pot fi afișate prin Tastatura de accesibilitate când se utilizează o tastatură fizică
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-42874: Don Clarke
Accessibility
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-42937: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)
Intrare adăugată la 22 ianuarie 2024
Accounts
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate accesa informații despre contactele unui utilizator
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42894: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)
AppleGraphicsControl
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2023-42901: Ivan Fratric (Google Project Zero)
CVE-2023-42902: Ivan Fratric (Google Project Zero) și Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
CVE-2023-42912: Ivan Fratric (Google Project Zero)
CVE-2023-42903: Ivan Fratric (Google Project Zero)
CVE-2023-42904: Ivan Fratric (Google Project Zero)
CVE-2023-42905: Ivan Fratric (Google Project Zero)
CVE-2023-42906: Ivan Fratric (Google Project Zero)
CVE-2023-42907: Ivan Fratric (Google Project Zero)
CVE-2023-42908: Ivan Fratric (Google Project Zero)
CVE-2023-42909: Ivan Fratric (Google Project Zero)
CVE-2023-42910: Ivan Fratric (Google Project Zero)
CVE-2023-42911: Ivan Fratric (Google Project Zero)
CVE-2023-42926: Ivan Fratric (Google Project Zero)
AppleVA
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42882: Ivan Fratric (Google Project Zero)
AppleVA
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42881: Ivan Fratric (Google Project Zero)
Intrare adăugată la 12 decembrie 2023
Archive Utility
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o problemă printr-o manipulare îmbunătățită a fișierelor temporare.
CVE-2023-42896: Mickey Jin (@patch1t)
Intrare adăugată la 22 martie 2024
AVEVideoEncoder
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42884: un cercetător anonim
Bluetooth
Disponibilitate pentru: macOS Sonoma
Impact: un atacator cu o poziție privilegiată în rețea poate injecta apăsări de taste prin falsificarea unei tastaturi
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-45866: Marc Newlin (SkySafe)
CoreMedia Playback
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42900: Mickey Jin (@patch1t)
CoreServices
Disponibilitate pentru: macOS Sonoma
Impact: un utilizator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
curl
Disponibilitate pentru: macOS Sonoma
Impact: mai multe probleme în curl
Descriere: mai multe probleme au fost rezolvate prin actualizarea curl la versiunea 8.4.0.
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
Intrare adăugată la 22 ianuarie 2024 și actualizată la 13 februarie 2024
DiskArbitration
Disponibilitate pentru: macOS Sonoma
Impact: un proces poate obține privilegii de administrator fără autentificare adecvată
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42931: Yann GASCUEL de la Alter Solutions
Intrare adăugată la 22 martie 2024
FileURL
Disponibilitate pentru: macOS Sonoma
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-42892: Anthony Cruz de la App Tyrant Corp
Intrare adăugată la 22 martie 2024
Find My
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42922: Wojciech Regula (SecuRing) (wojciechregula.blog)
ImageIO
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42898: Zhenjiang Zhao de la Pangu Team, Qianxin și Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM și Junsung Lee
Intrare actualizată la 22 martie 2024
ImageIO
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42888: Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
Intrare adăugată la 22 ianuarie 2024
IOKit
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate monitoriza apăsările de taste fără permisiunea utilizatorului
Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.
CVE-2023-42891: un cercetător anonim
IOUSBDeviceFamily
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) STAR Labs SG Pte. Ltd.
Intrare adăugată la 22 martie 2024
Kernel
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate evada din sandbox
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de la Synacktiv (@Synacktiv)
Libsystem
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.
CVE-2023-42893
Intrare adăugată la 22 martie 2024
Model I/O
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-3618
Intrare adăugată la 22 martie 2024
ncurses
Disponibilitate pentru: macOS Sonoma
Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
NSOpenPanel
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate citi fișiere arbitrare
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2023-42887: Ron Masas (BreakPoint.sh)
Intrare adăugată la 22 ianuarie 2024
Sandbox
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42936
Intrare adăugată la 22 martie 2024
Share Sheet
Disponibilitate pentru: macOS Sonoma
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă de confidențialitate prin mutarea datelor sensibile într-o locație protejată.
CVE-2023-40390: Csaba Fitzl (@theevilbit) de la Offensive Security și Mickey Jin (@patch1t)
Intrare adăugată la 22 martie 2024
SharedFileList
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42842: un cercetător anonim
Shell
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Intrare adăugată la 22 martie 2024
System Settings
Disponibilitate pentru: macOS Sonoma
Impact: sesiunile de login de la distanță pot obține permisiuni de acces complet la disc
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-42913: Mattie Behrens și Joshua Jewett (@JoshJewett33)
Intrare adăugată la 22 martie 2024
TCC
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Disponibilitate pentru: macOS Sonoma
Impact: o aplicație poate evada din sandbox
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2023-42947: Zhongquan Li (@Guluisacat) de la Dawn Security Lab din cadrul JingDong
Intrare adăugată la 22 martie 2024
Vim
Disponibilitate pentru: macOS Sonoma
Impact: deschiderea unui fișier creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: această problemă a fost rezolvată prin actualizarea la versiunea Vim 9.0.1969.
CVE-2023-5344
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de la 360 Vulnerability Research Institute și rushikesh nandedkar
Intrare adăugată la 22 martie 2024
WebKit
Disponibilitate pentru: macOS Sonoma
Impact: procesarea unui conținut web poate cauza o refuzare a serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Intrare adăugată la 22 martie 2024
Alte mențiuni
Memoji
Dorim să-i mulțumim lui Jerry Tenenbaum pentru asistența acordată.
WebSheet
Dorim să-i mulțumim lui Paolo Ruggero de la e-phors S.p.A. (A FINCANTIERI S.p.A. Company) pentru asistența acordată.
Intrare adăugată la 22 martie 2024
Wi-Fi
Dorim să le mulțumim lui Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab) pentru asistența acordată.