Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Ventura 13.6
Dátum vydania: 21. septembra 2023
Apple Neural Engine
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) z tímu Baidu Security
Dátum pridania záznamu: 26. septembra 2023
Apple Neural Engine
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Dátum pridania záznamu: 26. septembra 2023
Apple Neural Engine
Dostupné pre: macOS Ventura
Dosah: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-40410: Tim Michaud (@TimGMichaud) z tímu Moveworks.ai
Dátum pridania záznamu: 26. septembra 2023
Ask to Buy
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-38612: Chris Ross (Zoom)
Dátum pridania záznamu: 22. decembra 2023
Biometric Authentication
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-41232: Liang Wei z tímu PixiePoint Security
Dátum pridania záznamu: 26. septembra 2023
ColorSync
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná čítať ľubovoľné súbory
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-40406: JeongOhKyea z tímu Theori
Dátum pridania záznamu: 26. septembra 2023
CoreAnimation
Dostupné pre: macOS Ventura
Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40420: 이준성 (Junsung Lee) z tímu Cross Republic
Dátum pridania záznamu: 26. septembra 2023
Kernel
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) zo spoločnosti STAR Labs SG Pte. Ltd.
Dátum pridania záznamu: 26. septembra 2023
Kernel
Dostupné pre: macOS Ventura
Dosah: Útočník, ktorý už dosiahol spustenie kódu v režime jadra, môže byť schopný obísť bezpečnostné opatrenia v pamäti jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-41981: Linus Henze zo spoločnosti Pinauten GmbH (pinauten.de)
Dátum pridania záznamu: 26. septembra 2023
Kernel
Dostupné pre: macOS Ventura
Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS starších ako iOS 16.7.
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-41992: Bill Marczak z tímu The Citizen Lab na Munk School v rámci torontskej univerzity a Maddie Stone zo skupiny Threat Analysis Group spoločnosti Google
libxpc
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-41073: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)
Dátum pridania záznamu: 26. septembra 2023
libxpc
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná vymazať súbory, pri ktorých na to nemá povolenie
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-40454: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)
Dátum pridania záznamu: 26. septembra 2023
libxslt
Dostupné pre: macOS Ventura
Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) zo spoločnosti PK Security
Dátum pridania záznamu: 26. septembra 2023
Maps
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-40427: Adam M. a Wojciech Regula (wojciechregula.blog) zo spoločnosti SecuRing
Dátum pridania záznamu: 26. septembra 2023
Pro Res
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-41063: Tím Certik Skyfall
Dátum pridania záznamu: 26. septembra 2023
Sandbox
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná prepisovať ľubovoľné súbory
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Dátum pridania záznamu: 26. septembra 2023
Sandbox
Dostupné pre: macOS Ventura
Dopad: Apky, ktoré sa nepodarí overiť, sa aj napriek tomu môžu spustiť
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-41996: Yiğit Can YILMAZ (@yilmazcanyigit) a Mickey Jin (@patch1t)
Dátum pridania záznamu: 26. septembra 2023
Security
Dostupné pre: macOS Ventura
Dosah: Aplikácia so škodlivým kódom môže byť schopná obísť overenie podpisu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 16.7.
Popis: Bol vyriešený problém s overovaním certifikátov.
CVE-2023-41991: Bill Marczak z tímu The Citizen Lab na Munk School v rámci torontskej univerzity a Maddie Stone zo skupiny Threat Analysis Group spoločnosti Google
Share Sheet
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým dátam, ktoré sa zaznamenajú, keď používateľ zdieľa odkaz
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-41070: Kirin (@Pwnrin)
Dátum pridania záznamu: 26. septembra 2023
StorageKit
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná čítať ľubovoľné súbory
Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins
Dátum pridania záznamu: 26. septembra 2023
Ďalšie poďakovanie
Apple Neural Engine
Poďakovanie za pomoc si zaslúži pattern-f (@pattern_F_) z tímu Ant Security Light-Year Lab.
Dátum pridania záznamu: 22. decembra 2023
AppSandbox
Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).
Dátum pridania záznamu: 26. septembra 2023
Kernel
Poďakovanie za pomoc si zaslúžia Bill Marczak z tímu The Citizen Lab na univerzite The University of Toronto's Munk School a Maddie Stone z tímu Google's Threat Analysis Group.
libxml2
Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).
Dátum pridania záznamu: 26. septembra 2023
WebKit
Poďakovanie za pomoc si zaslúžia Khiem Tran a Narendra Bhati zo spoločnosti Suma Soft Pvt. Ltd, Pune (India).
Dátum pridania záznamu: 26. septembra 2023
WebRTC
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Dátum pridania záznamu: 26. septembra 2023