Obsah zabezpečenia v systéme macOS Ventura 13.2
V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Ventura 13.2.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Ventura 13.2
Dátum vydania: 23. januára 2023
AppleMobileFileIntegrity
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.
CVE-2023-32438: Csaba Fitzl (@theevilbit, Offensive Security) a Mickey Jin (@patch1t)
Dátum pridania záznamu: 5. septembra 2023
AppleMobileFileIntegrity
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený zapnutím zabezpečeného chodu apky.
CVE-2023-23499: Wojciech Reguła (@_r3ggi) z tímu SecuRing (wojciechregula.blog)
Crash Reporter
Dostupné pre: macOS Ventura
Dopad: Používateľ môže byť schopný čítať ľubovoľné súbory ako koreňový používateľ
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2023-23520: Cees Elzinga
Dátum pridania záznamu: 20. februára 2023
curl
Dostupné pre: macOS Ventura
Dopad: Viacero problémov v súčasti curl
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou súčasti curl na verziu 7.86.0.
CVE-2022-42915
CVE-2022-42916
CVE-2022-32221
CVE-2022-35260
dcerpc
Dostupné pre: macOS Ventura
Dopad: Pripojenie zdieľaného sieťového prvku Samba so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23539: Aleksandar Nikolic a Dimitrios Tatsis (Cisco Talos)
CVE-2023-23513: Dimitrios Tatsis a Aleksandar Nikolic zo spoločnosti Cisco Talos
Dátum aktualizovania záznamu: 1. mája 2023
DiskArbitration
Dostupné pre: macOS Ventura
Dopad: Šifrovaný disk je možné odpojiť a pripojiť pod iným používateľom bez zobrazenia výzvy na zadanie hesla
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-23493: Oliver Norpoth (@norpoth) zo spoločnosti KLIXX GmbH (klixx.com)
FontParser
Dostupné pre: macOS Ventura
Dopad: Spracovanie súboru písma môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-41990: Apple
Dátum pridania záznamu: 8. septembra 2023
Foundation
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód mimo svojho izolovaného priestoru alebo s určitými oprávneniami vyššej úrovne
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23530: Austin Emmitt (@alkalinesec), senior výskumník zabezpečenia v stredisku Trellix Advanced Research Center
Dátum pridania záznamu: 20. februára 2023, dátum aktualizácie: 1. mája 2023
Foundation
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód mimo svojho izolovaného priestoru alebo s určitými oprávneniami vyššej úrovne
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23531: Austin Emmitt (@alkalinesec), senior výskumník zabezpečenia v stredisku Trellix Advanced Research Center
Dátum pridania záznamu: 20. februára 2023, dátum aktualizácie: 1. mája 2023
ImageIO
Dostupné pre: macOS Ventura
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-23519: Meysam Firouzi @R00tkitSMM z tímu Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) a jzhu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum aktualizovania záznamu: 5. septembra 2023
Intel Graphics Driver
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-23507: Anonymný výskumník
Kernel
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23516: Jordy Zomer (@pwningsystems)
Dátum pridania záznamu: 1. mája 2023
Kernel
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) zo spoločnosti STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) zo spoločnosti STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23504: Adam Doupé z tímu ASU SEFCOM
libxpc
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania.
CVE-2023-23506: Guilherme Rambo z tímu Best Buddy Apps (rambo.codes)
Mail Drafts
Dostupné pre: macOS Ventura
Dopad: Pri preposielaní e-mailu z účtu Exchange môže byť citovaná pôvodná správa vybraná z nesprávneho e-mailu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-23498: Jose Lizandro Luevano
Dátum aktualizovania záznamu: 1. mája 2023
Maps
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-23503: Anonymný výskumník
Messages
Dostupné pre: macOS Ventura
Dopad: Používateľ môže odoslať textovú správu zo sekundárnej eSIM karty, hoci je pre kontakt nakonfigurované použitie primárnej eSIM karty
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-28208: freshman
Dátum pridania záznamu: 5. septembra 2023
PackageKit
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-23497: Mickey Jin (@patch1t)
Safari
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k histórii prehliadača Safari používateľa
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania.
CVE-2023-23510: Guilherme Rambo z tímu Best Buddy Apps (rambo.codes)
Safari
Dostupné pre: macOS Ventura
Dopad: Návšteva webovej stránky môže viesť k odmietnutiu služby apky
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-23512: Adriatik Raci
Screen Time
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k informáciám o kontaktoch používateľa
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-23505: Wojciech Reguła z tímu SecuRing (wojciechregula.blog) a Csaba Fitzl (@theevilbit) z tímu Offensive Security
Dátum aktualizovania záznamu: 1. mája 2023
Vim
Dostupné pre: macOS Ventura
Dopad: Viacero problémov týkajúcich sa softvéru Vim
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-3705
Weather
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23511: Wojciech Regula z tímu SecuRing (wojciechregula.blog), anonymný výskumník
WebKit
Dostupné pre: macOS Ventura
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Dátum pridania záznamu: 28. júna 2023
WebKit
Dostupné pre: macOS Ventura
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren a Hang Shu (Ústav výpočtovej techniky, Čínska akadémia vied)
WebKit
Dostupné pre: macOS Ventura
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) a Dohyun Lee (@l33d0hyun) z tímu ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) a Dohyun Lee (@l33d0hyun) z tímu ApplePIE
Wi-Fi
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra.
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte
CVE-2023-23501: Pan ZhenPeng (@Peterpan0927) zo spoločnosti STAR Labs SG Pte. Ltd. (@starlabs_sg)
Windows Installer
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná obísť nastavenia súkromia.
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23508: Mickey Jin (@patch1t)
WebKit
Dostupné pre: macOS Ventura
Dopad: Dokument HTML môže byť schopný vykresľovať rámce iframe s citlivými používateľskými informáciami
Popis: Tento problém bol vyriešený vylepšením vynútenia izolovania priestoru pre prvky iFrame.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Dátum pridania záznamu: 1. mája 2023
Ďalšie poďakovanie
AppleMobileFileIntegrity
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) (Offensive Security).
Dátum pridania záznamu: 1. mája 2023
Bluetooth
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Core Data
Poďakovanie za pomoc si zaslúži Austin Emmitt (@alkalinesec), senior výskumník zabezpečenia v stredisku Trellix Advanced Research Center.
Dátum pridania záznamu: 8. septembra 2023
Kernel
Poďakovanie za pomoc si zaslúži Nick Stenning (Replicate).
Shortcuts
Poďakovanie za pomoc si zaslúžia Baibhav Anand Jha (ReconWithMe) a Cristian Dinca (stredná škola Colegiul Național de Informatică Tudor Vianu, Rumunsko).
WebKit
Poďakovanie za pomoc si zaslúži Eliya Stein (Confiant).
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.