Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
macOS Ventura 13.6.1
Дата выпуска: 25 октября 2023 г.
CoreAnimation
Целевые продукты: macOS Ventura
Воздействие. Приложение может вызывать отказ в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-40449: Tomi Tokics (@tomitokics) из iTomsn0w
Core Recents
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема устранена путем удаления из журналов информации, не подлежащей разглашению.
CVE-2023-42823
Запись добавлена 16 февраля 2024 г.
FileProvider
Целевые продукты: macOS Ventura
Воздействие. Приложение может вызывать отказ в обслуживании клиентов конечных устройств.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2023-42854: Noah Roskin-Frazee и Prof. J. (ZeroClicks.ai Lab)
Find My
Целевые продукты: macOS Ventura
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема устранена путем улучшенной обработки кэшей.
CVE-2023-40413: Adam M.
Foundation
Целевые продукты: macOS Ventura
Воздействие. Веб-сайт может получить доступ к конфиденциальным данным пользователя при обработке символических ссылок.
Описание. Проблема устранена путем улучшенной обработки символических ссылок.
CVE-2023-42844: Ron Masas из BreakPoint.SH
Image Capture
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к защищенным пользовательским данным.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
Целевые продукты: macOS Ventura
Воздействие. Обработка изображения может привести к раскрытию памяти процесса.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-40416: пользователь JZ
ImageIO
Целевые продукты: macOS Ventura
Воздействие. При обработке вредоносного изображения возможно повреждение динамической памяти.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2023-42848: пользователь JZ
Запись добавлена 16 февраля 2024 г.
IOTextEncryptionFamily
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-40423: анонимный исследователь
iperf3
Целевые продукты: macOS Ventura
Воздействие. Удаленный пользователь может вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-38403
Kernel
Целевые продукты: macOS Ventura
Воздействие. Злоумышленник, который уже добился выполнения кода в ядре, может обойти меры защиты памяти ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-42849: Linus Henze из Pinauten GmbH (pinauten.de)
libc
Целевые продукты: macOS Ventura
Воздействие. Обработка вредоносных входящих данных может привести к выполнению произвольного кода в приложениях, установленных пользователем.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-40446: inooo
Запись добавлена 3 ноября 2023 г.
libxpc
Целевые продукты: macOS Ventura
Воздействие. Вредоносное приложение может получить права root-пользователя.
Описание. Проблема устранена путем улучшенной обработки символических ссылок.
CVE-2023-42942: Mickey Jin (@patch1t)
Запись добавлена 16 февраля 2024 г.
Model I/O
Целевые продукты: macOS Ventura
Воздействие. Обработка файла может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-42856: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro по программе Zero Day Initiative
PackageKit
Целевые продукты: macOS Ventura
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) и Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Запись добавлена 16 февраля 2024 г.
PackageKit
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-42840: Mickey Jin (@patch1t) и Csaba Fitzl (@theevilbit) из Offensive Security
Запись добавлена 16 февраля 2024 г.
PackageKit
Целевые продукты: macOS Ventura
Воздействие. Приложение может обходить определенные настройки конфиденциальности
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-42889: Mickey Jin (@patch1t)
Запись добавлена 16 февраля 2024 г.
PackageKit
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2023-42853: Mickey Jin (@patch1t)
Запись добавлена 16 февраля 2024 г.
PackageKit
Целевые продукты: macOS Ventura
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) из FFRI Security, Inc.
Запись добавлена 16 февраля 2024 г.
Passkeys
Целевые продукты: macOS Ventura
Воздействие. Злоумышленник может получить доступ к ключам входа без аутентификации.
Описание. Проблема устранена путем ввода дополнительных проверок разрешений.
CVE-2023-40401: анонимный исследователь и пользователь weize she
Pro Res
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu и Guang Gong из 360 Vulnerability Research Institute
Pro Res
Целевые продукты: macOS Ventura
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), а также пользователь happybabywu и Guang Gong из 360 Vulnerability Research Institute
Запись добавлена 16 февраля 2024 г.
SQLite
Целевые продукты: macOS Ventura
Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.
Описание. Проблема устранена путем улучшения проверок.
CVE-2023-36191
Запись добавлена 16 февраля 2024 г.
talagent
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2023-40421: Noah Roskin-Frazee и Prof. J. (ZeroClicks.ai Lab)
Weather
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-41254: Cristian Dinca из Национальной средней школы компьютерных наук Tudor Vianu, Румыния
WindowServer
Целевые продукты: macOS Ventura
Воздействие. Веб-сайт может получать доступ к микрофону без отображения индикатора микрофона.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2023-41975: анонимный исследователь
WindowServer
Целевые продукты: macOS Ventura
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-42858: анонимный исследователь
Запись добавлена 16 февраля 2024 г.
Дополнительные благодарности
GPU Drivers
Выражаем благодарность за помощь анонимному исследователю.
libarchive
Выражаем благодарность за помощь Bahaa Naamneh.
libxml2
Выражаем благодарность за помощь сервису OSS-Fuzz и Ned Williamson из Google Project Zero.