Obsah zabezpečenia v systéme macOS Ventura 13.6.1
V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Ventura 13.6.1.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Ventura 13.6.1
Dátum vydania: 25. októbra 2023
CoreAnimation
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40449: Tomi Tokics (@tomitokics) z tímu iTomsn0w
Core Recents
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vyčistením protokolovania.
CVE-2023-42823
Dátum pridania záznamu: 16. februára 2024
FileProvider
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spôsobiť odopretie služby klientom koncového zabezpečenia
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-42854: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
Find My
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-40413: Adam M.
Foundation
Dostupné pre: macOS Ventura
Dopad: Webová stránka môže byť schopná získať prístup k citlivým dátam používateľa pri prevodoch symbolických odkazov
Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.
CVE-2023-42844: Ron Masas z tímu BreakPoint.SH
Image Capture
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
Dostupné pre: macOS Ventura
Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40416: JZ
ImageIO
Dostupné pre: macOS Ventura
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-42848: JZ
Dátum pridania záznamu: 16. februára 2024
IOTextEncryptionFamily
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40423: Anonymný výskumník
iperf3
Dostupné pre: macOS Ventura
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-38403
Kernel
Dostupné pre: macOS Ventura
Dopad: Útočník, ktorý už dosiahol spustenie kódu v režime jadra, môže byť schopný obísť bezpečnostné opatrenia v pamäti jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42849: Linus Henze z tímu Pinauten GmbH (pinauten.de)
libc
Dostupné pre: macOS Ventura
Dopad: Spracovanie škodlivého vstupu môže mať za následok spustenie ľubovoľného kódu v apkách nainštalovaných používateľom
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40446: inooo
Dátum pridania záznamu: 3. novembra 2023
libxpc
Dostupné pre: macOS Ventura
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam používateľa root
Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.
CVE-2023-42942: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
Model I/O
Dostupné pre: macOS Ventura
Dopad: Spracovanie súboru môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42856: Michael DePlante (@izobashi) z tímu Zero Day Initiative spoločnosti Trend Micro
PackageKit
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) a Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42840: Mickey Jin (@patch1t) a Csaba Fitzl (@theevilbit) z tímu Offensive Security
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná obísť určité nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42889: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-42853: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h, FFRI Security, Inc.)
Dátum pridania záznamu: 16. februára 2024
Passkeys
Dostupné pre: macOS Ventura
Dopad: Útočník môže byť schopný bez oprávnenia získať prístup k prihlasovacím kľúčom
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2023-40401: Anonymný výskumník a weize she
Pro Res
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu a Guang Gong z tímu 360 Vulnerability Research Institute
Pro Res
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) a happybabywu a Guang Gong z tímu 360 Vulnerability Research Institute
Dátum pridania záznamu: 16. februára 2024
SQLite
Dostupné pre: macOS Ventura
Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-36191
Dátum pridania záznamu: 16. februára 2024
talagent
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-40421: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
Weather
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-41254: Cristian Dinca (Colegiul Național de Informatică Tudor Vianu, Rumunsko)
WindowServer
Dostupné pre: macOS Ventura
Dopad: Webová stránka môže byť schopná získať prístup k mikrofónu bez toho, aby sa zobrazoval indikátor používania mikrofónu
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-41975: Anonymný výskumník
WindowServer
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42858: Anonymný výskumník
Dátum pridania záznamu: 16. februára 2024
Ďalšie poďakovanie
GPU Drivers
Poďakovanie za pomoc si zaslúži anonymný výskumník.
libarchive
Poďakovanie za pomoc si zaslúži Bahaa Naamneh.
libxml2
Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.