Despre conținutul de securitate din macOS Sonoma 14.2

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

Lansare: 11 decembrie 2023

Accessibility

Disponibilitate pentru: macOS Sonoma

Impact: câmpurile de text securizate pot fi afișate prin Tastatura de accesibilitate când se utilizează o tastatură fizică

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2023-42874: Don Clarke

Accessibility

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2023-42937: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)

Intrare adăugată la 22 ianuarie 2024

Accounts

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2023-42919: Kirin (@Pwnrin)

AppleEvents

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate accesa informații despre contactele unui utilizator

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-42894: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)

AppleGraphicsControl

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2023-42901: Ivan Fratric (Google Project Zero)

CVE-2023-42902: Ivan Fratric (Google Project Zero) și Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)

CVE-2023-42912: Ivan Fratric (Google Project Zero)

CVE-2023-42903: Ivan Fratric (Google Project Zero)

CVE-2023-42904: Ivan Fratric (Google Project Zero)

CVE-2023-42905: Ivan Fratric (Google Project Zero)

CVE-2023-42906: Ivan Fratric (Google Project Zero)

CVE-2023-42907: Ivan Fratric (Google Project Zero)

CVE-2023-42908: Ivan Fratric (Google Project Zero)

CVE-2023-42909: Ivan Fratric (Google Project Zero)

CVE-2023-42910: Ivan Fratric (Google Project Zero)

CVE-2023-42911: Ivan Fratric (Google Project Zero)

CVE-2023-42926: Ivan Fratric (Google Project Zero)

AppleVA

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42882: Ivan Fratric (Google Project Zero)

AppleVA

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42881: Ivan Fratric (Google Project Zero)

Intrare adăugată la 12 decembrie 2023

Archive Utility

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2023-42924: Mickey Jin (@patch1t)

Assets

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: a fost rezolvată o problemă printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2023-42896: Mickey Jin (@patch1t)

Intrare adăugată la 22 martie 2024

AVEVideoEncoder

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-42884: un cercetător anonim

Bluetooth

Disponibilitate pentru: macOS Sonoma

Impact: un atacator cu o poziție privilegiată în rețea poate injecta apăsări de taste prin falsificarea unei tastaturi

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-45866: Marc Newlin (SkySafe)

CoreMedia Playback

Disponibilitate pentru: macOS Sonoma

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-42900: Mickey Jin (@patch1t)

CoreServices

Disponibilitate pentru: macOS Sonoma

Impact: un utilizator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)

curl

Disponibilitate pentru: macOS Sonoma

Impact: mai multe probleme în curl

Descriere: mai multe probleme au fost rezolvate prin actualizarea curl la versiunea 8.4.0.

CVE-2023-38545

CVE-2023-38039

CVE-2023-38546

Intrare adăugată la 22 ianuarie 2024 și actualizată la 13 februarie 2024

DiskArbitration

Disponibilitate pentru: macOS Sonoma

Impact: un proces poate obține privilegii de administrator fără autentificare adecvată

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-42931: Yann GASCUEL de la Alter Solutions

Intrare adăugată la 22 martie 2024

FileURL

Disponibilitate pentru: macOS Sonoma

Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2023-42892: Anthony Cruz de la App Tyrant Corp

Intrare adăugată la 22 martie 2024

Find My

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-42922: Wojciech Regula (SecuRing) (wojciechregula.blog)

ImageIO

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42898: Zhenjiang Zhao de la Pangu Team, Qianxin și Junsung Lee

CVE-2023-42899: Meysam Firouzi @R00tkitSMM și Junsung Lee

Intrare actualizată la 22 martie 2024

ImageIO

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-42888: Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)

Intrare adăugată la 22 ianuarie 2024

IOKit

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate monitoriza apăsările de taste fără permisiunea utilizatorului

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2023-42891: un cercetător anonim

IOUSBDeviceFamily

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) STAR Labs SG Pte. Ltd.

Intrare adăugată la 22 martie 2024

Kernel

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate evada din sandbox

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de la Synacktiv (@Synacktiv)

Libsystem

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.

CVE-2023-42893

Intrare adăugată la 22 martie 2024

Model I/O

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2023-3618

Intrare adăugată la 22 martie 2024

ncurses

Disponibilitate pentru: macOS Sonoma

Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-19185

CVE-2020-19186

CVE-2020-19187

CVE-2020-19188

CVE-2020-19189

CVE-2020-19190

NSOpenPanel

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate citi fișiere arbitrare

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2023-42887: Ron Masas (BreakPoint.sh)

Intrare adăugată la 22 ianuarie 2024

Sandbox

Disponibilitate pentru: macOS Sonoma

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-42936

Intrare adăugată la 22 martie 2024

Share Sheet

Disponibilitate pentru: macOS Sonoma

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de confidențialitate prin mutarea datelor sensibile într-o locație protejată.

CVE-2023-40390: Csaba Fitzl (@theevilbit) de la Offensive Security și Mickey Jin (@patch1t)

Intrare adăugată la 22 martie 2024

SharedFileList

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-42842: un cercetător anonim

Shell

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2023-42930: Arsenii Kostromin (0x3c3e)

Intrare adăugată la 22 martie 2024

System Settings

Disponibilitate pentru: macOS Sonoma

Impact: sesiunile de login de la distanță pot obține permisiuni de acces complet la disc

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2023-42913: Mattie Behrens și Joshua Jewett (@JoshJewett33)

Intrare adăugată la 22 martie 2024

TCC

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2023-42932: Zhongquan Li (@Guluisacat)

TCC

Disponibilitate pentru: macOS Sonoma

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2023-42947: Zhongquan Li (@Guluisacat) de la Dawn Security Lab din cadrul JingDong

Intrare adăugată la 22 martie 2024

Vim

Disponibilitate pentru: macOS Sonoma

Impact: deschiderea unui fișier creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

Descriere: această problemă a fost rezolvată prin actualizarea la versiunea Vim 9.0.1969.

CVE-2023-5344

WebKit

Disponibilitate pentru: macOS Sonoma

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team

WebKit

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de la 360 Vulnerability Research Institute și rushikesh nandedkar

Intrare adăugată la 22 martie 2024

WebKit

Disponibilitate pentru: macOS Sonoma

Impact: procesarea unui conținut web poate cauza o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)

Intrare adăugată la 22 martie 2024

Memoji

Dorim să-i mulțumim lui Jerry Tenenbaum pentru asistența acordată.

WebSheet

Dorim să-i mulțumim lui Paolo Ruggero de la e-phors S.p.A. (A FINCANTIERI S.p.A. Company) pentru asistența acordată.

Intrare adăugată la 22 martie 2024

Wi-Fi

Dorim să le mulțumim lui Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab) pentru asistența acordată.