Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Sonoma 14.1
Dátum vydania: 25. októbra 2023
App Support
Dostupné pre: macOS Sonoma
Dopad: Analýza súboru môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-30774
AppSandbox
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-40444: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
Automation
Dostupné pre: macOS Sonoma
Dopad: Apka s oprávneniami používateľa root môže byť schopná získať prístup k súkromným informáciám
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42952: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)
Dátum pridania záznamu: 16. februára 2024
Bluetooth
Dostupné pre: macOS Sonoma
Dopad: Apka môže získať neoprávnený prístup k rozhraniu Bluetooth
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-42945
Dátum pridania záznamu: 16. februára 2024
Contacts
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-41072: Wojciech Regula z tímu SecuRing (wojciechregula.blog) a Csaba Fitzl (@theevilbit) z tímu Offensive Security
CVE-2023-42857: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
CoreAnimation
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40449: Tomi Tokics (@tomitokics) z tímu iTomsn0w
Core Recents
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vyčistením protokolovania.
CVE-2023-42823
Dátum pridania záznamu: 16. februára 2024
Emoji
Dostupné pre: macOS Sonoma
Dopad: Útočník môže byť schopný spustiť ľubovoľný kód ako koreňový zo zamknutej obrazovky
Popis: Tento problém bol vyriešený obmedzením možností, ktoré sú dostupné v zamknutom zariadení.
CVE-2023-41989: Jewel Lambert
FileProvider
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná spôsobiť odopretie služby klientom koncového zabezpečenia
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-42854: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
Find My
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-40413: Adam M.
Find My
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania súborov.
CVE-2023-42834: Csaba Fitzl (@theevilbit, Offensive Security)
Dátum pridania záznamu: 16. februára 2024
Foundation
Dostupné pre: macOS Sonoma
Dopad: Webová stránka môže byť schopná získať prístup k citlivým dátam používateľa pri prevodoch symbolických odkazov
Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.
CVE-2023-42844: Ron Masas z tímu BreakPoint.SH
Game Center
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-42953: Michael (Biscuit) Thomas – @biscuit@social.lol
Dátum pridania záznamu: 16. februára 2024
ImageIO
Dostupné pre: macOS Sonoma
Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40416: JZ
ImageIO
Dostupné pre: macOS Sonoma
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-42848: JZ
Dátum pridania záznamu: 16. februára 2024
IOTextEncryptionFamily
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40423: Anonymný výskumník
iperf3
Dostupné pre: macOS Sonoma
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-38403
Kernel
Dostupné pre: macOS Sonoma
Dopad: Útočník, ktorý už dosiahol spustenie kódu v režime jadra, môže byť schopný obísť bezpečnostné opatrenia v pamäti jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42849: Linus Henze z tímu Pinauten GmbH (pinauten.de)
LaunchServices
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2023-42850: Thijs Alkemade (@xnyhps) z tímu Computest Sector 7, Brian McNulty, Zhongquan Li
libc
Dostupné pre: macOS Sonoma
Dopad: Spracovanie škodlivého vstupu môže mať za následok spustenie ľubovoľného kódu v apkách nainštalovaných používateľom
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40446: inooo
Dátum pridania záznamu: 3. novembra 2023
libxpc
Dostupné pre: macOS Sonoma
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam používateľa root
Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.
CVE-2023-42942: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
Login Window
Dostupné pre: macOS Sonoma
Dopad: Útočník, ktorý pozná prihlasovacie údaje štandardného používateľa, môže odomknúť zamknutú obrazovku iného štandardného používateľa na tom istom Macu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser & CPU IT, inc, Matthew McLean, Steven Maser a IT Team Concentrix
Dátum aktualizovania záznamu: 27. októbra 2023
LoginWindow
Dostupné pre: macOS Sonoma
Dopad: Lokálny útočník môže byť schopný zobraziť plochu predtým prihláseného používateľa prostredníctvom obrazovky rýchleho prepínania používateľov
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-42935: ASentientBot
Dátum pridania záznamu: 22. januára 2024, dátum aktualizovania: 24. apríla 2024
Mail Drafts
Dostupné pre: macOS Sonoma
Dopad: Funkcia Skryť môj email sa môže neočakávane deaktivovať
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-40408: Grzegorz Riegel
Maps
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-40405: Csaba Fitzl (@theevilbit) z tímu Offensive Security
MediaRemote
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-28826: Meng Zhang (鲸落) z tímu NorthSea
Dátum pridania záznamu: 7. marca 2024
Model I/O
Dostupné pre: macOS Sonoma
Dopad: Spracovanie súboru môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42856: Michael DePlante (@izobashi) z tímu Zero Day Initiative spoločnosti Trend Micro
Networking
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-40404: Certik Skyfall Team
PackageKit
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) a Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42840: Mickey Jin (@patch1t) a Csaba Fitzl (@theevilbit) z tímu Offensive Security
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-42853: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h, FFRI Security, Inc.)
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná obísť určité nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42889: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
Passkeys
Dostupné pre: macOS Sonoma
Dopad: Útočiaca osoba môže byť schopná bez oprávnenia získať prístup k prihlasovacím kľúčom
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-42847: Anonymný výskumník
Photos
Dostupné pre: macOS Sonoma
Dopad: Fotky v albume so skrytými fotkami môže byť možné zobraziť bez overenia
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-42845: Bistrit Dahal
Dátum aktualizácie záznamu: 16. februára 2024
Pro Res
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu a Guang Gong z tímu 360 Vulnerability Research Institute
Pro Res
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) a happybabywu a Guang Gong z tímu 360 Vulnerability Research Institute
Dátum pridania záznamu: 16. februára 2024
quarantine
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná spustiť ľubovoľný kód mimo svojho izolovaného priestoru alebo s určitými oprávneniami vyššej úrovne
Popis: Problém s prístupom bol vyriešený vylepšením sandboxu.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), Csaba Fitzl (@theevilbit) z tímu Offensive Security
Dátum pridania záznamu: 16. februára 2024
RemoteViewServices
Dostupné pre: macOS Sonoma
Dopad: Útočník môže byť schopný získať prístup k používateľským údajom
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-42835: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
Safari
Dostupné pre: macOS Sonoma
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k odhaleniu histórie prehliadania
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-41977: Alex Renda
Safari
Dostupné pre: macOS Sonoma
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-42438: Rafay Baloch, Muhammad Samaak a anonymný výskumník
Sandbox
Dostupné pre: macOS Sonoma
Dopad: Útočník môže získať prístup k prepojeným sieťovým oddielom pripojeným v rámci domovského adresára
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Dátum pridania záznamu: 16. februára 2024
Sandbox
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Dátum pridania záznamu: 16. februára 2024
Share Sheet
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula z tímu SecuRing (wojciechregula.blog) a Cristian Dinca (Colegiul Național de Informatică Tudor Vianu, Rumunsko)
Dátum pridania záznamu: 16. februára 2024
Siri
Dostupné pre: macOS Sonoma
Dopad: Útočník s fyzickým prístupom môže byť schopný získať prostredníctvom Siri prístup k citlivým údajom používateľa
Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Dátum aktualizácie záznamu: 16. februára 2024
Siri
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42946
Dátum pridania záznamu: 16. februára 2024
SQLite
Dostupné pre: macOS Sonoma
Dopad: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-36191
Dátum pridania záznamu: 16. februára 2024
talagent
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-40421: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
Terminal
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42842: Anonymný výskumník
Vim
Dostupné pre: macOS Sonoma
Dopad: Spracovanie vstupu so škodlivým kódom môže viesť k spusteniu kódu
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-4733
CVE-2023-4734
CVE-2023-4735
CVE-2023-4736
CVE-2023-4738
CVE-2023-4750
CVE-2023-4751
CVE-2023-4752
CVE-2023-4781
Weather
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-41254: Cristian Dinca (Colegiul Național de Informatică Tudor Vianu, Rumunsko)
WebKit
Dostupné pre: macOS Sonoma
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee) z tímu Cross Republic
WebKit
Dostupné pre: macOS Sonoma
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성 (Junsung Lee)
WebKit
Dostupné pre: macOS Sonoma
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) a Vitor Pedreira (@0xvhp_) zo spoločnosti Agile Information Security
Dátum aktualizácie záznamu: 16. februára 2024
WebKit
Dostupné pre: macOS Sonoma
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Opis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Dátum pridania záznamu: 16. februára 2024
WebKit Process Model
Dostupné pre: macOS Sonoma
Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성 (Junsung Lee)
WindowServer
Dostupné pre: macOS Sonoma
Dopad: Webová stránka môže byť schopná získať prístup k mikrofónu bez toho, aby sa zobrazoval indikátor používania mikrofónu
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-41975: Anonymný výskumník
WindowServer
Dostupné pre: macOS Sonoma
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42858: Anonymný výskumník
Dátum pridania záznamu: 16. februára 2024
Ďalšie poďakovanie
libarchive
Poďakovanie za pomoc si zaslúži Bahaa Naamneh.
libxml2
Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).
Login Window
Poďakovanie za pomoc si zaslúži anonymný výskumník.
man
Poďakovanie za pomoc si zaslúžia Kirin (@Pwnrin) a Roman Mishchenko.
Dátum aktualizácie záznamu: 16. februára 2024
Power Manager
Poďakovanie za pomoc si zaslúži Xia0o0o0o (@Nyaaaaa_ovo) z Kalifornskej univerzity v San Diegu.
Preview
Poďakovanie za pomoc si zaslúži Akshay Nagpal.
Dátum pridania záznamu: 16. februára 2024
Reminders
Poďakovanie za pomoc si zaslúžia Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab).
Setup Assistant
Poďakovanie za pomoc si zaslúžia Digvijay Sai Gujjarlapudi a Kyle Andrews.
Dátum pridania záznamu: 24. apríla 2024
System Extensions
Poďakovanie za pomoc si zaslúžia Jaron Bradley, Ferdous Saljooki a Austin Prueher (Jamf Software).
Dátum pridania záznamu: 24. apríla 2024
WebKit
Poďakovanie za pomoc si zaslúži anonymný výskumník.