Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Ventura 13.4
Dátum vydania: 18. mája 2023
Accessibility
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
Dostupné pre: macOS Ventura
Dosah: Oprávnenia a povolenia ochrany súkromia udelené tejto apke môže používať škodlivá apka
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
Dostupné pre: macOS Ventura
Dopad: Útočník môže byť schopný získať e-maily používateľských účtov
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-34352: Sergii Kryvoblotskyi (MacPaw Inc.)
Dátum pridania záznamu: 5. septembra 2023
AMD
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-32379: ABC Research s.r.o.
Dátum pridania záznamu: 5. septembra 2023
AppleMobileFileIntegrity
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná vložiť kód do citlivých binárnych súborov, ktoré sú súčasťou Xcode
Popis: Tento problém bol vyriešený vynútením zabezpečeného chodu príslušných binárnych súborov na úrovni systému.
CVE-2023-32383: James Duffy (mangoSecure)
Dátum pridania záznamu: 21. decembra 2023
Associated Domains
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32371: James Duffy (mangoSecure)
Contacts
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná sledovať nechránené používateľské dáta
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2023-32386: Kirin (@Pwnrin)
Core Location
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-32399: Adam M.
Dátum aktualizovania záznamu: 5. septembra 2023
CoreServices
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-28191: Mickey Jin (@patch1t)
CUPS
Dostupné pre: macOS Ventura
Dopad: Neoverený používateľ môže mať prístup k nedávno vytlačeným dokumentom
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32360: Gerhard Muth
dcerpc
Dostupné pre: macOS Ventura
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32387: Dimitrios Tatsis (Cisco Talos)
DesktopServices
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32414: Mickey Jin (@patch1t)
Face Gallery
Dostupné pre: macOS Ventura
Dopad: Útočník s fyzickým prístupom k zamknutým hodinkám Apple Watch môže byť schopný zobraziť fotky alebo kontakty používateľov prostredníctvom funkcií prístupnosti
Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.
CVE-2023-32417: Zitong Wu (吴梓桐) z 1. strednej školy v Ču-chaj (珠海市第一中学)
Dátum pridania záznamu: 5. septembra 2023
GeoServices
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-32392: Adam M.
Dátum aktualizovania záznamu: 5. septembra 2023
ImageIO
Dostupné pre: macOS Ventura
Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32372: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum aktualizovania záznamu: 5. septembra 2023
ImageIO
Dostupné pre: macOS Ventura
Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
IOSurface
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
IOSurfaceAccelerator
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32420: Tím CertiK SkyFall a Linus Henze (Pinauten GmbH, pinauten.de)
Dátum aktualizovania záznamu: 5. septembra 2023
Kernel
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-27930: 08Tc3wBB (Jamf)
Kernel
Dostupné pre: macOS Ventura
Dopad: Apka v sandboxe môže byť schopná sledovať sieťové pripojenia používané v celom systéme
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
Kernel
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) zo spoločnosti Synacktiv (@Synacktiv) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
LaunchServices
Dostupné pre: macOS Ventura
Dopad: Apka môže obísť kontroly služby Gatekeeper
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-32352: Wojciech Reguła (@_r3ggi, SecuRing, wojciechregula.blog)
libxml2
Dostupné pre: macOS Ventura
Dosah: Viacero problémov v knižnici libxml2
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2023-29469: OSS-Fuzz, Ned Williamson (Google Project Zero)
CVE-2023-42869: OSS-Fuzz, Ned Williamson (Google Project Zero)
Dátum pridania záznamu: 21. decembra 2023
libxpc
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) a Michael Pearse (Microsoft)
libxpc
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-32405: Thijs Alkemade (@xnyhps, Computest Sector 7)
MallocStackLogging
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Tento problém bol vyriešený vylepšením spracovania súborov.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Dátum pridania záznamu: 5. septembra 2023
Metal
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Dostupné pre: macOS Ventura
Dopad: Spracovanie 3D modelu môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32368: Mickey Jin (@patch1t)
CVE-2023-32375: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
CVE-2023-32382: Mickey Jin (@patch1t)
Model I/O
Dostupné pre: macOS Ventura
Dopad: Spracovanie 3D modelu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-32403: Adam M.
Dátum aktualizovania záznamu: 5. septembra 2023
NSURLSession
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením protokolu spracovania súborov.
CVE-2023-32437: Thijs Alkemade z tímu Computest Sector 7
Dátum pridania záznamu: 5. septembra 2023
PackageKit
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32355: Mickey Jin (@patch1t)
PDFKit
Dostupné pre: macOS Ventura
Dopad: Otvorenie súboru PDF môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému s odopretím služby, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-32385: Jonathan Fritz
Perl
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Photos
Dostupné pre: macOS Ventura
Dopad: Fotky patriace do albumu Skryté fotky bolo možné zobraziť bez overenia pomocou vizuálneho vyhľadávania
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32390: Julian Szulc
Quick Look
Dostupné pre: macOS Ventura
Dopad: Analýza dokumentu balíka Office môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-32401: Holger Fuhrmannek zo spoločnosti Deutsche Telekom Security GmbH v mene úradu BSI (Spolkový úrad pre bezpečnosť informačných technológií)
Dátum pridania záznamu: 21. decembra 2023
Sandbox
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná zachovať si prístup ku konfiguračným súborom systému aj po odvolaní jej povolenia
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) a Csaba Fitzl (@theevilbit, Offensive Security)
Screen Saver
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Problém s povoleniami sa vyriešil odstránením nedostatočne zabezpečeného kódu a pridaním ďalších kontrol.
CVE-2023-32363: Mickey Jin (@patch1t)
Security
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2023-32367: James Duffy (mangoSecure)
Share Sheet
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2023-32432: Kirin (@Pwnrin)
Dátum pridania záznamu: 5. septembra 2023
Shell
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
Dostupné pre: macOS Ventura
Dopad: Skratka môže byť schopná používať pre určité akcie citlivé údaje bez zobrazenia výzvy pre používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32391: Wenchao Li a Xiaolong Bai (Alibaba Group)
Shortcuts
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com) a anonymný výskumník
Siri
Dostupné pre: macOS Ventura
Dopad: Osoba s fyzickým prístupom k zariadeniu môže byť schopná zobraziť kontaktné údaje zo zamknutej obrazovky
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32394: Khiem Tran
SQLite
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený pridaním ďalších obmedzení protokolovania SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) a Wojciech Reguła z tímu SecuRing (wojciechregula.blog)
Dátum aktualizovania záznamu: 2. júna 2023
StorageKit
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
sudo
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení
Popis: Tento problém bol vyriešený aktualizovaním komponentu sudo.
CVE-2023-22809
Dátum pridania záznamu: 5. septembra 2023
System Settings
Dostupné pre: macOS Ventura
Dopad: Po ukončení apky Nastavenia sa nemusí prejaviť nastavenie aplikačného firewallu
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2023-28202: Satish Panduranga a anonymný výskumník
Telephony
Dostupné pre: macOS Ventura
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
TV App
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-32408: Adam M.
Weather
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-32415: Wojciech Regula (SecuRing, wojciechregula.blog), anonymný výskumník
WebKit
Dostupné pre: macOS Ventura
Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)
Dátum aktualizovania záznamu: 21. decembra 2023
WebKit
Dostupné pre: macOS Ventura
Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Dostupné pre: macOS Ventura
Dopad: Vzdialený útočník môže byť schopný pracovať mimo sandboxu pre webový obsah. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne (Threat Analysis Group, Google) a Donncha Ó Cearbhaill (Security Lab, Amnesty International)
WebKit
Dostupné pre: macOS Ventura
Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
WebKit Bugzilla: 254930
CVE-2023-28204: Anonymný výskumník
Tento problém bol prvýkrát vyriešený v rýchlej bezpečnostnej oprave macOS 13.3.1 (a).
WebKit
Dostupné pre: macOS Ventura
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 254840
CVE-2023-32373: Anonymný výskumník
Tento problém bol prvýkrát vyriešený v rýchlej bezpečnostnej oprave macOS 13.3.1 (a).
Wi-Fi
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd.
Ďalšie poďakovanie
Accounts
Poďakovanie za pomoc si zaslúži Sergii Kryvoblotskyi (MacPaw Inc.).
CloudKit
Poďakovanie za pomoc si zaslúži Iconic.
Find My
Poďakovanie za pomoc si zaslúžia Abhinav Thakur, Artem Starovoitov, Hodol K a anonymný výskumník.
Dátum pridania záznamu: 21. decembra 2023
libxml2
Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).
Reminders
Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).
Rosetta
Poďakovanie za pomoc si zaslúži Koh M. Nakagawa zo spoločnosti FFRI Security, Inc.
Safari
Poďakovanie za pomoc si zaslúži Khiem Tran (databaselog.com).
Dátum aktualizovania záznamu: 21. decembra 2023
Security
Poďakovanie za pomoc si zaslúži Brandon Toms.
Share Sheet
Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).
Wallet
Poďakovanie za pomoc si zaslúži James Duffy (mangoSecure).
WebRTC
Poďakovanie za pomoc si zaslúžia Dohyun Lee (@l33d0hyun) zo spoločnosti PK Security a anonymný výskumník.
Dátum pridania záznamu: 21. decembra 2023
Wi-Fi
Poďakovanie za pomoc si zaslúži Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023