Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Ventura 13.6.1
Dátum vydania: 25. októbra 2023
CoreAnimation
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40449: Tomi Tokics (@tomitokics) z tímu iTomsn0w
Core Recents
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vyčistením protokolovania.
CVE-2023-42823
Dátum pridania záznamu: 16. februára 2024
FileProvider
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spôsobiť odopretie služby klientom koncového zabezpečenia
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-42854: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
Find My
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-40413: Adam M.
Foundation
Dostupné pre: macOS Ventura
Dopad: Webová stránka môže byť schopná získať prístup k citlivým dátam používateľa pri prevodoch symbolických odkazov
Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.
CVE-2023-42844: Ron Masas z tímu BreakPoint.SH
Image Capture
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
Dostupné pre: macOS Ventura
Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40416: JZ
ImageIO
Dostupné pre: macOS Ventura
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-42848: JZ
Dátum pridania záznamu: 16. februára 2024
IOTextEncryptionFamily
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40423: Anonymný výskumník
iperf3
Dostupné pre: macOS Ventura
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-38403
Kernel
Dostupné pre: macOS Ventura
Dopad: Útočník, ktorý už dosiahol spustenie kódu v režime jadra, môže byť schopný obísť bezpečnostné opatrenia v pamäti jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42849: Linus Henze z tímu Pinauten GmbH (pinauten.de)
libc
Dostupné pre: macOS Ventura
Dopad: Spracovanie škodlivého vstupu môže mať za následok spustenie ľubovoľného kódu v apkách nainštalovaných používateľom
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40446: inooo
Dátum pridania záznamu: 3. novembra 2023
libxpc
Dostupné pre: macOS Ventura
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam používateľa root
Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.
CVE-2023-42942: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
Model I/O
Dostupné pre: macOS Ventura
Dopad: Spracovanie súboru môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42856: Michael DePlante (@izobashi) z tímu Zero Day Initiative spoločnosti Trend Micro
PackageKit
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) a Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42840: Mickey Jin (@patch1t) a Csaba Fitzl (@theevilbit) z tímu Offensive Security
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná obísť určité nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42889: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-42853: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h, FFRI Security, Inc.)
Dátum pridania záznamu: 16. februára 2024
Passkeys
Dostupné pre: macOS Ventura
Dopad: Útočník môže byť schopný bez oprávnenia získať prístup k prihlasovacím kľúčom
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2023-40401: Anonymný výskumník a weize she
Pro Res
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu a Guang Gong z tímu 360 Vulnerability Research Institute
Pro Res
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) a happybabywu a Guang Gong z tímu 360 Vulnerability Research Institute
Dátum pridania záznamu: 16. februára 2024
SQLite
Dostupné pre: macOS Ventura
Dopad: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-36191
Dátum pridania záznamu: 16. februára 2024
talagent
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-40421: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
Weather
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-41254: Cristian Dinca (Colegiul Național de Informatică Tudor Vianu, Rumunsko)
WindowServer
Dostupné pre: macOS Ventura
Dopad: Webová stránka môže byť schopná získať prístup k mikrofónu bez toho, aby sa zobrazoval indikátor používania mikrofónu
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-41975: Anonymný výskumník
WindowServer
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42858: Anonymný výskumník
Dátum pridania záznamu: 16. februára 2024
Ďalšie poďakovanie
GPU Drivers
Poďakovanie za pomoc si zaslúži anonymný výskumník.
libarchive
Poďakovanie za pomoc si zaslúži Bahaa Naamneh.
libxml2
Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).