Сведения о проблемах системы безопасности, устраняемых обновлением macOS Ventura 13.6.3
В этом документе описаны проблемы системы безопасности, устраненные в macOS Ventura 13.6.3.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
macOS Ventura 13.6.3
Дата выпуска: 11 декабря 2023 г.
Accounts
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к информации о контактах пользователя.
Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2023-42894: Noah Roskin-Frazee и Prof. J. (ZeroClicks.ai Lab)
Archive Utility
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Целевые продукты: macOS Ventura
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема устранена путем улучшенной обработки временных файлов.
CVE-2023-42896: Mickey Jin (@patch1t)
Запись добавлена 22 марта 2024 г.
Automation
Целевые продукты: macOS Ventura
Воздействие. Приложение с правами root может получать доступ к личной информации.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-42952: Zhipeng Huo (@R3dF09) из компании Tencent Security Xuanwu Lab (xlab.tencent.com)
Запись добавлена 16 февраля 2024 г.
AVEVideoEncoder
Целевые продукты: macOS Ventura
Воздействие. Приложение может раскрывать данные из памяти ядра.
Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2023-42884: анонимный исследователь
CoreServices
Целевые продукты: macOS Ventura
Воздействие. Пользователь может выполнить произвольный код или вызвать неожиданное завершение работы приложения.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
DiskArbitration
Целевые продукты: macOS Ventura
Воздействие. Процесс может получить привилегии администратора без соответствующей идентификации
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-42931: Yann GASCUEL из Alter Solutions
Запись добавлена 22 марта 2024 г.
Emoji
Целевые продукты: macOS Ventura
Воздействие. Злоумышленник может выполнить произвольный код с правами root на экране блокировки.
Описание. Проблема устранена путем ограничения предлагаемых вариантов на заблокированном устройстве.
CVE-2023-41989: Jewel Lambert
Запись добавлена 16 июля 2024 г.
FileURL
Целевые продукты: macOS Ventura
Воздействие. Локальный злоумышленник может повысить свои привилегии.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2023-42892: Anthony Cruz из App Tyrant Corp
Запись добавлена 22 марта 2024 г.
Find My
Целевые продукты: macOS Ventura
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2023-42922: Wojciech Regula из компании SecuRing (wojciechregula.blog)
Find My
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема конфиденциальности устранена путем улучшенной обработки файлов.
CVE-2023-42834: Csaba Fitzl (@theevilbit) из Offensive Security
Запись добавлена 16 февраля 2024 г.
ImageIO
Целевые продукты: macOS Ventura
Воздействие. Обработка изображения может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-42899: Meysam Firouzi @R00tkitSMM и Junsung Lee
IOKit
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к отслеживанию нажатий клавиш без разрешения пользователя.
Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.
CVE-2023-42891: анонимный исследователь
IOUSBDeviceFamily
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Условие состязания устранено путем улучшения обработки состояний.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) из STAR Labs SG Pte. Ltd.
Запись добавлена 22 марта 2024 г.
Kernel
Целевые продукты: macOS Ventura
Воздействие. Приложение может выходить за границы песочницы.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) из Synacktiv (@Synacktiv)
Libsystem
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к защищенным пользовательским данным.
Описание. Проблема с правами доступа была устранена путем удаления уязвимого кода и добавления дополнительных проверок.
CVE-2023-42893
Запись добавлена 22 марта 2024 г.
Model I/O
Целевые продукты: macOS Ventura
Воздействие. Обработка изображения может приводить к отказу в обслуживании.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2023-3618
Запись добавлена 22 марта 2024 г.
ncurses
Целевые продукты: macOS Ventura
Воздействие. Удаленный пользователь может вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Описание. Проблема устранена путем улучшения проверок.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
quarantine
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код за границами своей изолированной среды или с определенными привилегиями более высокого уровня.
Описание, Проблема доступа устранена путем улучшения песочницы.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) и Csaba Fitzl (@theevilbit) из Offensive Security
Запись добавлена 16 февраля 2024 г.
Sandbox
Целевые продукты: macOS Ventura
Воздействие. Злоумышленник может получить доступ к сетевым томам, подключенным к папке пользователя.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Запись добавлена 16 февраля 2024 г.
Sandbox
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2023-42936: Csaba Fitzl (@theevilbit) из OffSec
Запись добавлена 22 марта 2024 г., обновлена 16 июля 2024 г.
Shell
Целевые продукты: macOS Ventura
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема устранена путем улучшения проверок.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Запись добавлена 22 марта 2024 г.
TCC
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к защищенным пользовательским данным.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Целевые продукты: macOS Ventura
Воздействие. Приложение может выходить за границы песочницы.
Описание. Проблема с обработкой пути устранена путем улучшенной проверки.
CVE-2023-42947: Zhongquan Li (@Guluisacat) из подразделения Dawn Security Lab компании JingDong
Запись добавлена 22 марта 2024 г.
Vim
Целевые продукты: macOS Ventura
Воздействие. Открытие вредоносного файла может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. Проблема устранена путем обновления Vim до версии 9.0.1969.
CVE-2023-5344
Дополнительные благодарности
Просмотр
Выражаем благодарность за помощь пользователю Akshay Nagpal.
Запись добавлена 16 февраля 2024 г.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.