Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
macOS Ventura 13.5
Дата выпуска: 24 июля 2023 г.
Accounts
Целевые продукты: macOS Ventura
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-40439: Kirin (@Pwnrin)
Запись добавлена 21 декабря 2023 г.
AMD
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код с правами ядра.
Описание. Условие состязания устранено путем улучшения обработки состояний.
CVE-2023-38616: ABC Research s.r.o.
Запись добавлена 6 сентября 2023 г.
Apple Neural Engine
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-34425: pattern-f (@pattern_F_) из Ant Security Light-Year Lab
Запись добавлена 27 июля 2023 г.
Apple Neural Engine
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-38580: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
Целевые продукты: macOS Ventura
Воздействие. Приложение может определить текущее местоположение пользователя.
Описание. Проблема перехода на более раннюю версию, затрагивающая компьютеры Mac на базе Intel, была устранена с помощью дополнительных ограничений на подпись кода.
CVE-2023-36862: Mickey Jin (@patch1t)
AppSandbox
Целевые продукты: macOS Ventura
Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Assets
Целевые продукты: macOS Ventura
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема устранена путем улучшения защиты данных.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Целевые продукты: macOS Ventura
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-40392: Wojciech Regula из компании SecuRing (wojciechregula.blog)
Запись добавлена 6 сентября 2023 г.
crontabs
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить привилегии пользователя root.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2023-42828: Erhad Husovic
Запись добавлена 21 декабря 2023 г.
CUPS
Целевые продукты: macOS Ventura
Воздействие. Пользователь с преимущественным положением в сети может вызвать утечку конфиденциальных данных.
Описание. Проблема с логикой устранена путем улучшенного управления состояниями.
CVE-2023-34241: пользователь Sei K.
Запись добавлена 27 июля 2023 г.
curl
Целевые продукты: macOS Ventura
Воздействие. Обнаружен ряд проблем в curl.
Описание. Ряд проблем устранен путем обновления компонента curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Целевые продукты: macOS Ventura
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2023-32416: Wojciech Regula из компании SecuRing (wojciechregula.blog)
Find My
Целевые продукты: macOS Ventura
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-40437: Kirin (@Pwnrin) и Wojciech Regula из компании SecuRing (wojciechregula.blog)
Запись добавлена 21 декабря 2023 г.
Grapher
Целевые продукты: macOS Ventura
Воздействие. Обработка файла может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-32418: Bool из YunShangHuaAn(云上华安)
CVE-2023-36854: Bool из YunShangHuaAn(云上华安)
ImageIO
Целевые продукты: macOS Ventura
Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2022-3970: обнаружено с помощью инструмента OSS-Fuzz
Запись добавлена 6 сентября 2023 г.
Kernel
Целевые продукты: macOS Ventura
Воздействие. Приложение может раскрывать данные из памяти ядра.
Описание. Проблема с проверкой устранена путем улучшения очистки ввода.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Запись добавлена 6 сентября 2023 г.
Kernel
Целевые продукты: macOS Ventura
Воздействие. Удаленный пользователь может удаленно вызывать неожиданное завершение работы системы или повреждение памяти ядра.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2023-38590: Zweig из Kunlun Lab
Запись добавлена 27 июля 2023 г.
Kernel
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Запись добавлена 27 июля 2023 г.
Kernel
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2023-36495: Zweig из Kunlun Lab
Запись добавлена 27 июля 2023 г.
Kernel
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2023-37285: Арсений Костромин (Arsenii Kostromin, 0x3c3e)
Запись добавлена 27 июля 2023 г.
Kernel
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2023-38604: анонимный исследователь
Запись добавлена 27 июля 2023 г.
Kernel
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) из STAR Labs SG Pte. Ltd.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) из STAR Labs SG Pte. Ltd.
CVE-2023-38261: анонимный исследователь
CVE-2023-38424: команда Certik Skyfall
CVE-2023-38425: команда Certik Skyfall
Kernel
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2023-32381: анонимный исследователь
CVE-2023-32433: Zweig из Kunlun Lab
CVE-2023-35993: Kaitao Xie и Xiaolong Bai из Alibaba Group
Kernel
Целевые продукты: macOS Ventura
Воздействие. Пользователь может повышать уровень привилегий.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-38410: анонимный исследователь
Kernel
Целевые продукты: macOS Ventura
Воздействие. Приложение может изменять конфиденциальные данные о состоянии ядра. Компании Apple известно о том, что эта проблема могла активно использоваться для нарушения безопасности iOS версий до 15.7.1.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2023-38606: Валентин Пашков, Михаил Виноградов, Георгий Кучерин (@kucher1n), Леонид Безвершенко (@bzvr_) и Борис Ларин (@oct0xor) из Kaspersky
Kernel
Целевые продукты: macOS Ventura
Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-38603: Zweig из Kunlun Lab
libxpc
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить привилегии пользователя root.
Описание. Проблема с обработкой пути устранена путем улучшенной проверки.
CVE-2023-38565: Zhipeng Huo (@R3dF09) из компании Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Целевые продукты: macOS Ventura
Воздействие. Приложение может вызывать отказ в обслуживании.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2023-38593: Noah Roskin-Frazee
Целевые продукты: macOS Ventura
Воздействие. Сообщение электронной почты с использованием шифрования S/MIME может непреднамеренно отправляться незашифрованным
Описание. Эта проблема устранена путем улучшенного управления состояниями сообщений с шифрованием S/MIME.
CVE-2023-40440: Taavi Eomäe из Zone Media OÜ
Запись добавлена 21 декабря 2023 г.
Model I/O
Целевые продукты: macOS Ventura
Воздействие. Обработка трехмерной модели может привести к раскрытию памяти процесса.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-38258: Mickey Jin (@patch1t)
CVE-2023-38421: Mickey Jin (@patch1t) и Michael DePlante (@izobashi) из Trend Micro Zero Day Initiative
Запись обновлена 27 июля 2023 г.
Model I/O
Целевые продукты: macOS Ventura
Воздействие. Обработка изображения может привести к раскрытию памяти процесса.
Описание. Проблема устранена путем улучшения проверок.
CVE-2023-1916
Запись добавлена 21 декабря 2023 г.
Music
Целевые продукты: macOS Ventura
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема устранена путем улучшенной проверки символьных ссылок.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Запись добавлена 27 июля 2023 г.
ncurses
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнить произвольный код или вызвать неожиданное завершение работы приложения.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.
CVE-2023-29491: Jonathan Bar Or, Emanuele Cozzi и Michael Pearse из Microsoft
Запись добавлена 6 сентября 2023 г.
Net-SNMP
Целевые продукты: macOS Ventura
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2023-38601: Csaba Fitzl (@theevilbit) из Offensive Security
Запись добавлена 27 июля 2023 г.
NSSpellChecker
Целевые продукты: macOS Ventura
Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.
Описание. Проблема с логикой устранена путем улучшенной проверки.
CVE-2023-32444: Mickey Jin (@patch1t)
Запись добавлена 27 июля 2023 г.
OpenLDAP
Целевые продукты: macOS Ventura
Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-2953: Sandipan Roy
OpenSSH
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к парольным фразам SSH.
Описание. Проблема устранена путем ввода дополнительных ограничений на возможность отслеживать состояния приложений.
CVE-2023-42829: James Duffy (mangoSecure)
Запись добавлена 21 декабря 2023 г.
PackageKit
Целевые продукты: macOS Ventura
Воздействие. Приложение может обходить определенные настройки конфиденциальности
Описание. Проблема внедрения устранена путем улучшения проверки ввода.
CVE-2023-38609: Michael Cowell
Запись добавлена 27 июля 2023 г.
PackageKit
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Целевые продукты: macOS Ventura
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-38564: Mickey Jin (@patch1t)
PackageKit
Целевые продукты: macOS Ventura
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2023-38602: Арсений Костромин (Arsenii Kostromin, 0x3c3e)
Security
Целевые продукты: macOS Ventura
Воздействие. Приложение может снимать отпечатки пальцев пользователя.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2023-42831: James Duffy (mangoSecure)
Запись добавлена 21 декабря 2023 г.
Shortcuts
Целевые продукты: macOS Ventura
Воздействие. Быстрая команда может изменять конфиденциальные настройки приложения «Быстрые команды».
Описание. Проблема доступа устранена путем улучшения ограничений доступа.
CVE-2023-32442: анонимный исследователь
sips
Целевые продукты: macOS Ventura
Воздействие. Обработка файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2023-32443: David Hoyt из компании Hoyt LLC
Software Update
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить привилегии пользователя root.
Описание. Условие состязания устранено путем улучшения обработки состояний.
CVE-2023-42832: Арсений Костромин (0x3c3e)
Запись добавлена 21 декабря 2023 г.
SystemMigration
Целевые продукты: macOS Ventura
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-32429: Wenchao Li и Xiaolong Bai из Hangzhou Orange Shield Information Technology Co., Ltd.
tcpdump
Целевые продукты: macOS Ventura
Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить произвольный код
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2023-1801
Запись добавлена 21 декабря 2023 г.
Time Zone
Целевые продукты: macOS Ventura
Воздействие. Пользователь может читать информацию, принадлежащую другому пользователю.
Описание. Проблема с логикой устранена путем улучшенного управления состояниями.
CVE-2023-32654: Matthew Loewen
Запись добавлена 27 июля 2023 г.
Vim
Целевые продукты: macOS Ventura
Воздействие. Обнаружен ряд проблем в Vim.
Описание. Ряд проблем устранен путем обновления компонента Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Запись добавлена 21 декабря 2023 г.
Voice Memos
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема устранена путем ввода дополнительных проверок разрешений.
CVE-2023-38608: Yiğit Can YILMAZ (@yilmazcanyigit), Noah Roskin-Frazee и Prof. J. (ZeroClicks.ai Lab), Kirin (@Pwnrin), а также Yishu Wang
Запись обновлена 21 декабря 2023 г.
Weather
Целевые продукты: macOS Ventura
Воздействие. Приложение может определить текущее местоположение пользователя.
Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2023-38605: Adam M.
Запись добавлена 6 сентября 2023 г.
WebKit
Целевые продукты: macOS Ventura
Воздействие. Злоумышленник может удаленно вызвать выполнение произвольного кода javascript.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 257824
CVE-2023-40397: Johan Carlsson (joaxcar)
Запись добавлена 6 сентября 2023 г.
WebKit
Целевые продукты: macOS Ventura
Воздействие: веб-сайт может обойти правило одного источника
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) из Suma Soft Pvt. Ltd, Пуна, Индия
WebKit
Целевые продукты: macOS Ventura
Воздействие. Веб-сайт может отслеживать конфиденциальные данные пользователя.
Описание. Проблема с логикой устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin и Yuval Yarom
Запись добавлена 27 июля 2023 г.
WebKit
Целевые продукты: macOS Ventura
Воздействие. Обработка документа может приводить к атаке с использованием межсайтовых скриптов.
Описание. Проблема устранена путем улучшения проверок.
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
Запись добавлена 27 июля 2023 г.
WebKit
Целевые продукты: macOS Ventura
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема с логикой устранена путем улучшения ограничений.
WebKit Bugzilla: 257331
CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) из Suma Soft Pvt. Ltd, Pune - India, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina и Lorenzo Veronese из TU Wien
Запись добавлена 27 июля 2023 г.
WebKit
Целевые продукты: macOS Ventura
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Bugzilla: 256573
CVE-2023-38595: анонимный исследователь, Jiming Wang, Jikai Ren
WebKit Bugzilla: 257387
CVE-2023-38600: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: macOS Ventura
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 258058
CVE-2023-38611: Francisco Alonso (@revskills)
WebKit
Целевые продукты: macOS Ventura
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода. Компании Apple известно о том, что этой проблемой могли активно пользоваться.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 259231
CVE-2023-37450: анонимный исследователь
Эта проблема была впервые устранена в быстрых ответах на угрозы для macOS Ventura 13.4.1 (c).
WebKit
Целевые продукты: macOS Ventura
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 257684
CVE-2023-42866: Francisco Alonso (@revskills) и Junsung Lee
Запись добавлена 21 декабря 2023 г.
WebKit Process Model
Целевые продукты: macOS Ventura
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성 (Junsung Lee) из Cross Republic
WebKit Web Inspector
Целевые продукты: macOS Ventura
Воздействие. Обработка веб-содержимого может привести к раскрытию конфиденциальной информации.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Дополнительные благодарности
WebKit
Выражаем благодарность за помощь Narendra Bhati, @imnarendrabhati из Suma Soft Pvt. Ltd, Pune - India.
Запись добавлена 27 июля 2023 г.
WebKit
Выражаем благодарность за помощь пользователю 이준성(Junsung Lee) из Cross Republic.
Запись добавлена 21 декабря 2023 г.
WebRTC
Выражаем благодарность за помощь анонимному исследователю.