Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Ventura 13.6.3
Dátum vydania: 11. decembra 2023
Accounts
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k informáciám o používateľských kontaktoch
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42894: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
Archive Utility
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Problém bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2023-42896: Mickey Jin (@patch1t)
Dátum pridania záznamu: 22. marca 2024
Automation
Dostupné pre: macOS Ventura
Dopad: Apka s oprávneniami používateľa root môže byť schopná získať prístup k súkromným informáciám
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42952: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)
Dátum pridania záznamu: 16. februára 2024
AVEVideoEncoder
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42884: Anonymný výskumník
CoreServices
Dostupné pre: macOS Ventura
Dopad: Používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
DiskArbitration
Dostupné pre: macOS Ventura
Dopad: Proces môže získať oprávnenia správcu bez riadnej autentifikácie
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42931: Yann GASCUEL (Alter Solutions)
Dátum pridania záznamu: 22. marca 2024
FileURL
Dostupné pre: macOS Ventura
Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-42892: Anthony Cruz (App Tyrant Corp)
Dátum pridania záznamu: 22. marca 2024
Find My
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42922: Wojciech Regula z tímu SecuRing (wojciechregula.blog)
Find My
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania súborov.
CVE-2023-42834: Csaba Fitzl (@theevilbit, Offensive Security)
Dátum pridania záznamu: 16. februára 2024
ImageIO
Dostupné pre: macOS Ventura
Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42899: Meysam Firouzi @R00tkitSMM a Junsung Lee
IOKit
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná monitorovať stlačené klávesy bez používateľského povolenia
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-42891: Anonymný výskumník
IOUSBDeviceFamily
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd.
Dátum pridania záznamu: 22. marca 2024
Kernel
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) zo spoločnosti Synacktiv (@Synacktiv)
Libsystem
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Problém s povoleniami sa vyriešil odstránením nedostatočne zabezpečeného kódu a pridaním ďalších kontrol.
CVE-2023-42893
Dátum pridania záznamu: 22. marca 2024
Model I/O
Dostupné pre: macOS Ventura
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-3618
Dátum pridania záznamu: 22. marca 2024
ncurses
Dostupné pre: macOS Ventura
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
quarantine
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná spustiť ľubovoľný kód mimo svojho izolovaného priestoru alebo s určitými oprávneniami vyššej úrovne
Popis: Problém s prístupom bol vyriešený vylepšením sandboxu.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) a Csaba Fitzl (@theevilbit) z tímu Offensive Security
Dátum pridania záznamu: 16. februára 2024
Sandbox
Dostupné pre: macOS Ventura
Dopad: Útočník môže získať prístup k prepojeným sieťovým oddielom pripojeným v rámci domovského adresára
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Dátum pridania záznamu: 16. februára 2024
Sandbox
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42936
Dátum pridania záznamu: 22. marca 2024
Shell
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 22. marca 2024
TCC
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Dostupné pre: macOS Ventura
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2023-42947: Zhongquan Li (@Guluisacat) z tímu Dawn Security Lab spoločnosti JingDong
Dátum pridania záznamu: 22. marca 2024
Vim
Dostupné pre: macOS Ventura
Dopad: Otvorenie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený aktualizovaním súčasti Vim na verziu 9.0.1969.
CVE-2023-5344
Ďalšie poďakovanie
Preview
Poďakovanie za pomoc si zaslúži Akshay Nagpal.
Dátum pridania záznamu: 16. februára 2024