Om säkerhetsinnehållet i macOS Sonoma 14.2
I det här dokumentet beskrivs säkerhetsinnehållet i macOS Sonoma 14.2.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan Apples produktsäkerhet.
macOS Sonoma 14.2
Släpptes 11 december 2023
Accessibility
Tillgängligt för: macOS Sonoma
Effekt: Säkra textfält kan visas via hjälpmedelstangentbordet när ett fysiskt tangentbord används
Beskrivning: Problemet åtgärdades med förbättrad tillståndshantering.
CVE-2023-42874: Don Clarke
Accessibility
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-42937: Noah Roskin-Frazee och Prof. J. (ZeroClicks.ai Lab)
Lades till 22 januari 2024
Accounts
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Tillgängligt för: macOS Sonoma
Effekt: En app kan få åtkomst till information om en användares kontakter
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2023-42894: Noah Roskin-Frazee och Prof. J. (ZeroClicks.ai Lab)
AppleGraphicsControl
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Flera minnesfel åtgärdades med hjälp av förbättrad indatavalidering.
CVE-2023-42901: Ivan Fratric på Google Project Zero
CVE-2023-42902: Ivan Fratric på Google Project Zero och Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative
CVE-2023-42912: Ivan Fratric på Google Project Zero
CVE-2023-42903: Ivan Fratric på Google Project Zero
CVE-2023-42904: Ivan Fratric på Google Project Zero
CVE-2023-42905: Ivan Fratric på Google Project Zero
CVE-2023-42906: Ivan Fratric på Google Project Zero
CVE-2023-42907: Ivan Fratric på Google Project Zero
CVE-2023-42908: Ivan Fratric på Google Project Zero
CVE-2023-42909: Ivan Fratric på Google Project Zero
CVE-2023-42910: Ivan Fratric på Google Project Zero
CVE-2023-42911: Ivan Fratric på Google Project Zero
CVE-2023-42926: Ivan Fratric på Google Project Zero
AppleVA
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av en bildfil kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-42882: Ivan Fratric på Google Project Zero
AppleVA
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av en fil kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-42881: Ivan Fratric på Google Project Zero
Lades till 12 december 2023
Archive Utility
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Tillgängligt för: macOS Sonoma
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett problem åtgärdades med förbättrad hantering av tillfälliga filer.
CVE-2023-42896: Mickey Jin (@patch1t)
Lades till 22 mars 2024
AVEVideoEncoder
Tillgängligt för: macOS Sonoma
Effekt: En app kan avslöja kernelminnet
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2023-42884: En anonym forskare
Bluetooth
Tillgängligt för: macOS Sonoma
Effekt: En angripare med privilegierad nätverksposition kanske kan mata in tangenttryckningar genom att förfalska ett tangentbord
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-45866: Marc Newlin på SkySafe
CoreMedia Playback
Tillgängligt för: macOS Sonoma
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42900: Mickey Jin (@patch1t)
CoreServices
Tillgängligt för: macOS Sonoma
Effekt: En användare kan orsaka oväntad avslutning av app eller körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
curl
Tillgängligt för: macOS Sonoma
Effekt: Flera problem i curl
Beskrivning: Flera problem åtgärdades med hjälp av en uppdatering till curl-version 8.4.0.
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
Posten lades till 22 januari 2024, uppdaterades 13 februari 2024
DiskArbitration
Tillgängligt för: macOS Sonoma
Effekt: En process kunde få administratörsbehörigheter utan korrekt autentisering
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42931: Yann GASCUEL från Alter Solutions
Lades till 22 mars 2024
FileURL
Tillgängligt för: macOS Sonoma
Effekt: En lokal angripare kan höja sin behörighet
Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.
CVE-2023-42892: Anthony Cruz @App Tyrant Corp
Lades till 22 mars 2024
Find My
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2023-42922: Wojciech Regula på SecuRing (wojciechregula.blog)
ImageIO
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av en bildfil kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-42898: Zhenjiang Zhao från Pangu Team, Qianxin och Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM och Junsung Lee
Uppdaterades 22 mars 2024
ImageIO
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42888: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative
Lades till 22 januari 2024
IOKit
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan övervaka tangenttryckningar utan användarens tillåtelse
Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.
CVE-2023-42891: En anonym forskare
IOusbDeviceFamily
Tillgängligt för: macOS Sonoma
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) från STAR Labs SG Pte. Ltd.
Lades till 22 mars 2024
Kernel
Tillgängligt för: macOS Sonoma
Effekt: En app kan bryta sig ut från sin sandlåda
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) på Synacktiv (@Synacktiv)
Libsystem
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan komma åt skyddade användardata
Beskrivning: Ett behörighetsproblem åtgärdades genom att ta bort känslig kod och utöka kontroller.
CVE-2023-42893
Lades till 22 mars 2024
Model I/O
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av en bild kan leda till ett dos-angrepp
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2023-3618
Lades till 22 mars 2024
ncurses
Tillgängligt för: macOS Sonoma
Effekt: En fjärranvändare kanske kan orsaka ett oväntat appavslut eller körning av opålitlig kod
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
NSOpenPanel
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan läsa opålitliga filer
Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.
CVE-2023-42887: Ron Masas på BreakPoint.sh
Lades till 22 januari 2024
Sandbox
Tillgängligt för: macOS Sonoma
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2023-42936: Csaba Fitzl (@theevilbit) på OffSec
Lades till 22 mars 2024, uppdaterades 16 juli 2024
Share Sheet
Tillgängligt för: macOS Sonoma
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett integritetsproblem åtgärdades genom flytt av känsliga data till en skyddad plats.
CVE-2023-40390: Csaba Fitzl (@theevilbit) på Offensive Security och Mickey Jin (@patch1t)
Lades till 22 mars 2024
SharedFileList
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42842: En anonym forskare
Shell
Tillgängligt för: macOS Sonoma
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Lades till 22 mars 2024
System Settings
Tillgängligt för: macOS Sonoma
Effekt: Fjärranslutna inloggningssessioner kan få fullständiga åtkomstbehörigheter till hårddisken
Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2023-42913: Mattie Behrens och Joshua Jewett (@JoshJewett33)
Lades till 22 mars 2024
TCC
Tillgängligt för: macOS Sonoma
Effekt: En app kan komma åt skyddade användardata
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Tillgängligt för: macOS Sonoma
Effekt: En app kan bryta sig ut från sin sandlåda
Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.
CVE-2023-42947: Zhongquan Li (@Guluisacat) från Dawn Security Lab i JingDong
Lades till 22 mars 2024
Transparency
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet åtgärdades genom förbättrad begränsning av åtkomst till databehållare.
CVE-2023-40389: Csaba Fitzl (@theevilbit) på Offensive Security och Joshua Jewett (@JoshJewett33)
Lades till 16 juli 2024
Vim
Tillgängligt för: macOS Sonoma
Effekt: Öppnande av en fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Problemet åtgärdades genom en uppdatering till Vim version 9.0.1969.
CVE-2023-5344
WebKit
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av en bild kan leda till ett dos-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) på 360 Vulnerability Research Institute och rushikesh nandedkar
Lades till 22 mars 2024
WebKit
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Lades till 22 mars 2024
Ytterligare tack
Memoji
Vi vill tacka Jerry Tenenbaum för hjälpen.
WebSheet
Vi vill tacka Paolo Ruggero från e-phors S.p.A. (Ett FINCANTIERI S.p.A.-företag) för hjälpen.
Lades till 22 mars 2024
Wi-Fi
Vi vill tacka Noah Roskin-Frazee och professor J. (ZeroClicks.ai Lab) för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.