Om säkerhetsinnehållet i macOS Sonoma 14

Det här dokumentet beskriver säkerhetsinnehållet i macOS Sonoma 14.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apples produktsäkerhet.

macOS Sonoma 14

Släpptes 26 september 2023

Airport

Tillgängligt för: Mac Studio (2022 och senare), iMac (2019 och senare), Mac Pro (2019 och senare), Mac mini (2018 och senare), MacBook Air (2018 och senare), MacBook Pro (2018 och senare) och iMac Pro (2017)

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett tillståndsproblem åtgärdades genom förbättrad redigering av känslig information.

CVE-2023-40384: Adam M.

AMD

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2023-32377: ABC Research s.r.o.

AMD

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-38615: ABC Research s.r.o.

App Store

Effekt: En fjärrangripare kanske kan bryta sig ur sandlådan för webbinnehåll

Beskrivning: Problemet åtgärdades genom förbättrad hantering av protokoll.

CVE-2023-40448: w0wbox

Apple Neural Engine

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Uppdaterades 22 december 2023

Apple Neural Engine

Effekt: En app kan avslöja kernelminnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Effekt: En app kan avslöja kernelminnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2023-40410: Tim Michaud (@TimGMichaud) på Moveworks.ai

AppleMobileFileIntegrity

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.

CVE-2023-42872: Mickey Jin (@patch1t)

Lades till 22 december 2023

AppSandbox

Effekt: En app kanske kan komma åt skyddade användardata

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-42929: Mickey Jin (@patch1t)

Lades till 22 december 2023

AppSandbox

Effekt: En app kanske kan komma åt bilagor i Anteckningar

Beskrivning: Problemet åtgärdades genom förbättrad begränsning av åtkomst till databehållare.

CVE-2023-42925: Wojciech Reguła (@_r3ggi) och Kirin (@Pwnrin)

Lades till 16 juli 2024

Ask to Buy

Effekt: En app kanske kan komma åt skyddade användardata

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-38612: Chris Ross (Zoom)

Lades till 22 december 2023

AuthKit

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2023-32361: Csaba Fitzl (@theevilbit) på Offensive Security

Bluetooth

Effekt: En angripare som befinner sig fysiskt i närheten kan orsaka en begränsad skrivning utanför gränserna

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-35984: zer0k

Bluetooth

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Effekt: En app kan kringgå vissa inställningar för Integritet

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Effekt: Bearbetning av en fil kan leda till ett DoS-angrepp eller möjligen avslöja innehåll från minnet

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

Lades till 22 december 2023

bootp

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2023-41065: Adam M., samt Noah Roskin-Frazee och professor Jason Lau (ZeroClicks.ai Lab)

Calendar

Effekt: En app kan komma åt kalenderdata som är sparade i en tillfällig katalog

Beskrivning: Ett integritetsproblem åtgärdades med förbättrad hantering av tillfälliga filer.

CVE-2023-29497: Kirin (@Pwnrin) och Yishu Wang

CFNetwork

Effekt: En app kan misslyckas med att följa App Transport Security

Beskrivning: Problemet åtgärdades genom förbättrad hantering av protokoll.

CVE-2023-38596: Will Brattain på Trail of Bits

Clock

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2023-42943: Cristian Dinca på Rumäniens nationella skola för datavetenskap Tudor Vianu

Lades till 16 juli 2024

ColorSync

Effekt: En app kanske kan läsa opålitliga filer

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-40406: JeongOhKyea på Theori

CoreAnimation

Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40420: 이준성(Junsung Lee) på Cross Republic

Core Data

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2023-40528: Kirin (@Pwnrin) på NorthSea

Lades till 22 januari 2024

Core Image

Effekt: En app kan komma åt redigerade bilder som har sparats i en tillfällig katalog

Beskrivning: Ett problem åtgärdades med förbättrad hantering av tillfälliga filer.

CVE-2023-40438: Wojciech Regula på SecuRing (wojciechregula.blog)

Lades till 22 december 2023

CoreMedia

Effekt: Ett kameratillägg kanske kan komma åt kameravyn från andra appar än den app för vilken det beviljades tillstånd

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller

CVE-2023-41994: Halle Winkler, Politepix @hallewinkler

Lades till 22 december 2023

CUPS

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2023-40407: Sei K.

Dev Tools

Effekt: En app kan få högre behörighet

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

Uppdaterades 22 december 2023

FileProvider

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2023-41980: Noah Roskin-Frazee och professor Jason Lau (ZeroClicks.ai Lab)

FileProvider

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2023-40411: Noah Roskin-Frazee och Prof. J. (ZeroClicks.ai Lab) och Csaba Fitzl (@theevilbit) på Offensive Security

Lades till 22 december 2023

Game Center

Effekt: En app kanske kan komma åt kontakter

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2023-40395: Csaba Fitzl (@theevilbit) på Offensive Security

GPU Drivers

Effekt: En app kan avslöja kernelminnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40391: Antonio Zekic (@antoniozekic) på Dataflow Security

GPU Drivers

Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp

Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.

CVE-2023-40441: Ron Masas på Imperva

Graphics Drivers

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.

CVE-2023-42959: Murray Mike

Lades till 16 juli 2024

iCloud

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett tillståndsproblem åtgärdades genom förbättrad redigering av känslig information.

CVE-2023-23495: Csaba Fitzl (@theevilbit) på Offensive Security

iCloud Photo Library

Effekt: En app kan komma åt en användares bildbibliotek

Beskrivning: Ett konfigurationsproblem åtgärdades med ytterligare begränsningar.

CVE-2023-40434: Mikko Kenttälä (@Turmio_) på SensorFu

Image Capture

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Effekt: En angripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2023-40436: Murray Mike

IOUserEthernet

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40396: Certik Skyfall Team

Lades till 16 juli 2024

Kernel

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2023-41995: Certik Skyfall Team och pattern-f (@pattern_F_) på Ant Security Light-Year Lab

CVE-2023-42870: Zweig på Kunlun Lab

Uppdaterades 22 december 2023

Kernel

Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kärnminnesbegränsningar

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-41981: Linus Henze på Pinauten GmbH (pinauten.de)

Kernel

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) på STAR Labs SG Pte. Ltd.

Kernel

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett tillståndsproblem åtgärdades med hjälp av förbättrad validering.

CVE-2023-40429: Michael (Biscuit) Thomas och 张师傅(@京东蓝军)

Kernel

Effekt: En fjärranvändare kan orsaka körning av kernelkod

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) på MIT CSAIL

Lades till 22 december 2023

LaunchServices

Effekt: En app kan kringgå Gatekeeper-kontroller

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo) på Jamf Software och en anonym forskare

libpcap

Effekt: En fjärranvändare kan orsaka att appar avslutas oväntat eller att opålitlig kod körs

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2023-40400: Sei K.

libxpc

Effekt: En app kan kanske radera filer som den inte har behörighet till

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2023-40454: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Effekt: En app kanske kan komma åt skyddade användardata

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2023-41073: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Effekt: Bearbetning av webbinnehåll kan avslöja känslig information

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) på PK Security

Maps

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2023-40427: Adam M. och Wojciech Regula på SecuRing (wojciechregula.blog)

Maps

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2023-42957: Adam M. och Ron Masas på BreakPoint Security Research

Lades till 16 juli 2024

Messages

Effekt: En app kan observera oskyddade användardata

Beskrivning: Ett integritetsproblem åtgärdades med förbättrad hantering av tillfälliga filer.

CVE-2023-32421: Meng Zhang (鲸落) på NorthSea, Ron Masas på BreakPoint Security Research, Brian McNulty och Kishan Bagaria på Texts.com

Model I/O

Effekt: Bearbetning av en fil kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-42826: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

Lades till 19 oktober 2023

Model I/O

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2023-42918: Mickey Jin (@patch1t)

Lades till 16 juli 2024

Music

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2023-40455: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)

Notes

Effekt: En app kanske kan komma åt bilagor i Anteckningar

Beskrivning: Ett integritetsproblem åtgärdades med förbättrad hantering av tillfälliga filer.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Effekt: En sårbarhet upptäcktes i OpenSSHs fjärrvidarebefordran

Beskrivning: Problemet åtgärdades med hjälp av en uppdatering av OpenSSH till 9.3p2

CVE-2023-38408: baba yaga, en anonym forskare

Lades till 22 december 2023

Passkeys

Effekt: En angripare kan komma åt lösenkoder utan autentisering

Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.

CVE-2023-40401: weize she och en anonym forskare

Lades till 22 december 2023

Photos

Effekt: Bilder i albumet Gömda kan visas utan autentisering

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2023-40393: En anonym forskare, Berke Kırbaş och Harsh Jaiswal

Lades till 22 december 2023

Photos

Effekt: En app kan komma åt redigerade bilder som har sparats i en tillfällig katalog

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2023-42949: Kirin (@Pwnrin)

Lades till 16 juli 2024

Photos Storage

Effekt: En app med rotbehörighet kan ha tillgång till privat information

Beskrivning: Ett problem med avslöjande av information åtgärdades genom borttagning av den sårbara koden.

CVE-2023-42934: Wojciech Regula på SecuRing (wojciechregula.blog)

Lades till 22 december 2023

Power Management

Effekt: En användare kan visa begränsat innehåll via låsskärmen

Beskrivning: Ett problem med låsskärmen åtgärdades med förbättrad tillståndshantering.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi vid George Mason University och Billy Tabrizi

Uppdaterades 22 december 2023

Printing

Effekt: En app kanske kan ändra skrivarinställningarna

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Lades till 22 december 2023

Printing

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2023-41987: Kirin (@Pwnrin) och Wojciech Regula på SecuRing (wojciechregula.blog)

Lades till 22 december 2023

Pro Res

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Effekt: En app kan orsaka ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40422: Tomi Tokics (@tomitokics) på iTomsn0w

Safari

Effekt: Bearbetning av webbinnehåll kan avslöja känslig information

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Effekt: Safari kan spara bilder på en oskyddad plats

Beskrivning: Ett integritetsproblem åtgärdades med förbättrad hantering av tillfälliga filer.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Effekt: En app kan kanske identifiera vilka övriga appar som en användare har installerat

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-35990: Adriatik Raci på Sentry Cybersecurity

Safari

Effekt: Besök på en webbplats med skadligt innehåll i ramar kan leda till att användargränssnittet förfalskas

Beskrivning: Ett problem med fönsterhantering åtgärdades genom förbättrad tillståndshantering.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) på Suma Soft Pvt. Ltd, Pune (Indien)

Uppdaterades 22 december 2023

Sandbox

Effekt: En app kan skriva över opålitliga filer

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Effekt: En app kanske kan komma åt flyttbara volymer utan användarens samtycke

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Lades till 22 december 2023

Sandbox

Effekt: Appar som inte klarar verifieringskontroller kan fortfarande öppnas

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-41996: Mickey Jin (@patch1t) och Yiğit Can YILMAZ (@yilmazcanyigit)

Lades till 22 december 2023

Screen Sharing

Effekt: En app kan kringgå vissa inställningar för Integritet

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2023-41078: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)

Share Sheet

Effekt: En app kanske kan komma åt känsliga data som loggas när en användare delar en länk

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Effekt: Ett kortkommando kan dela ut känsliga användardata utan samtycke

Beskrivning: Det här problemet åtgärdades genom att lägga till en extra uppmaning om användarens samtycke.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) och James Duffy (mangoSecure)

Shortcuts

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet har åtgärdats genom förbättrad behörighetslogik.

CVE-2023-41079: Ron Masas på BreakPoint.sh och en anonym forskare

Spotlight

Effekt: En app kan få rotbehörigheter

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

Lades till 22 december 2023

StorageKit

Effekt: En app kanske kan läsa opålitliga filer

Beskrivning: Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2023-41968: Mickey Jin (@patch1t) och James Hutchins

System Preferences

Effekt: En app kan kringgå Gatekeeper-kontroller

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-40450: Thijs Alkemade (@xnyhps) på Computest Sector 7

System Settings

Effekt: Ett lösenord till Wi-Fi kan inte raderas när en Mac aktiveras i macOS Återställning.

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2023-42948: Andrew Haggard

Lades till 16 juli 2024

TCC

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) och Csaba Fitzl (@theevilbit) på Offensive Security

WebKit

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

WebKit Bugzilla: 249451

CVE-2023-39434: Francisco Alonso (@revskills) och Dohyun Lee (@l33d0hyun) på PK Security

WebKit Bugzilla: 258992

CVE-2023-40414: Francisco Alonso (@revskills)

Uppdaterades 22 december 2023

WebKit

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrade kontroller.

WebKit Bugzilla: 256551

CVE-2023-41074: 이준성(Junsung Lee) på Cross Republic och Jie Ding(@Lime) från HKUS3 Lab

Uppdaterades 22 december 2023

WebKit

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 239758

CVE-2023-35074: Ajou University Abysslab Dong Jun Kim (@smlijun) och Jong Seong Kim (@nevul37)

Uppdaterades 22 december 2023

WebKit

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt på versioner av iOS som släppts före iOS 16.7.

Beskrivning: Problemet hanterades med förbättrade kontroller.

WebKit Bugzilla: 261544

CVE-2023-41993: Bill Marczak på Citizen Lab vid The University of Toronto's Munk School och Maddie Stone på Google's Threat Analysis Group

WebKit

Effekt: En användares lösenord kan läsas upp med VoiceOver

Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.

WebKit Bugzilla: 248717

CVE-2023-32359: Claire Houston

Lades till 22 december 2023

WebKit

Effekt: En fjärransluten angripare kanske kan se läckta DNS-frågor när privat reläservice är aktiverat

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

WebKit Bugzilla: 257303

CVE-2023-40385: Anonym

Lades till 22 december 2023

WebKit

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett korrekthetsfel åtgärdades med förbättrade kontroller.

WebKit Bugzilla: 258592

CVE-2023-42833: Dong Jun Kim (@smlijun) och Jong Seong Kim (@nevul37) på AbyssLab

Lades till 22 december 2023

Wi-Fi

Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne

Beskrivning: Ett minnesfel åtgärdades genom borttagning av den sårbara koden.

CVE-2023-38610: Wang Yu på Cyberserval

Lades till 22 december 2023

Windows Server

Effekt: En app kan oväntat läcka en användares inloggningsuppgifter från säkra textfält

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2023-41066: En anonym forskare, Jeremy Legendre på MacEnhance och Felix Kratz

Uppdaterades 22 december 2023

XProtectFramework

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Ytterligare tack

Airport

Vi vill tacka Adam M., Noah Roskin-Frazee och professor Jason Lau (ZeroClicks.ai Lab) för hjälpen.

AppKit

Vi vill tacka en anonym forskare för hjälpen.

Apple Neural Engine

Vi vill tacka pattern-f (@pattern_F_) på Ant Security Light-Year Lab för hjälpen.

Lades till 22 december 2023

AppSandbox

Vi vill tacka Kirin (@Pwnrin) för hjälpen.

Archive Utility

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

Audio

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

Bluetooth

Vi vill tacka Jianjun Dai och Guang Gong på 360 Vulnerability Research Institute för hjälpen.

Books

Vi vill tacka Aapo Oksman på Nixu Cybersecurity för hjälpen.

Lades till 22 december 2023

Control Center

Vi vill tacka Yiğit Can YILMAZ (@yilmazcanyigit) för hjälpen.

Lades till 22 december 2023

Core Location

Vi vill tacka Wouter Hennen för hjälpen.

CoreMedia Playback

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

CoreServices

Vi vill tacka Thijs Alkemade på Computest Sector 7, Wojciech Reguła (@_r3ggi) på SecuRing och en anonym forskare för hjälpen.

Lades till 22 december 2023

Data Detectors UI

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College of Technology Bhopal för hjälpen.

Find My

Vi vill tacka Cher Scarlett för hjälpen.

Home

Vi vill tacka Jake Derouin (jakederouin.com) för hjälpen.

IOGraphics

Vi vill tacka en anonym forskare för hjälpen.

IOUserEthernet

Vi vill tacka Certik Skyfall Team för hjälpen.

Lades till 22 december 2023

Kernel

Vi vill tacka Bill Marczak på The Citizen Lab vid The University of Toronto's Munk School oh Maddie Stone på Googles Threat Analysis Group, Xinru Chi på Pangu Lab, 永超王 för hjälpen.

libxml2

Vi vill tacka OSS-Fuzz, Ned Williamson på Google Project Zero för hjälpen.

libxpc

Vi vill tacka en anonym forskare för hjälpen.

libxslt

Vi vill tacka Dohyun Lee (@l33d0hyun) på PK Security, OSS-Fuzz, Ned Williamson på Google Project Zero för hjälpen.

Mail

Vi vill tacka Taavi Eomäe från Zone Media OÜ för hjälpen.

Lades till 22 december 2023

Menus

Vi vill tacka Matthew Denton på Google Chrome Security för hjälpen.

Lades till 22 december 2023

NSURL

Vi vill tacka Zhanpeng Zhao (行之), 糖豆爸爸(@晴天组织) för hjälpen.

PackageKit

Vi vill tacka Csaba Fitzl (@theevilbit) på Offensive Security, en anonym forskare för hjälpen.

Photos

Vi vill tacka Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius, och Paul Lurin för hjälpen.

Uppdaterades 16 juli 2024

Power Services

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

Lades till 22 december 2023

Reminders

Vi vill tacka Paweł Szafirowski för hjälpen.

Safari

Vi vill tacka Kang Ali på Punggawa Cyber Security för hjälpen.

Sandbox

Vi vill tacka Yiğit Can YILMAZ (@yilmazcanyigit) för hjälpen.

SharedFileList

Vi vill tacka Christopher Lopez – @L0Psec och Kandji, Leo Pitt på Zoom Video Communications, Masahiro Kawada (@kawakatz) på GMO Cybersecurity by Ierae och Ross Bingham (@PwnDexter) för hjälpen.

Uppdaterades 22 december 2023

Shortcuts

Vi vill tacka Alfie CG, Christian Basting på Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca på ”Tudor Vianu” National High School of Computer Science, Rumänien, Giorgos Christodoulidis, Jubaer Alnazi på TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) och Matthew Butler för hjälpen.

Uppdaterades 24 april 2024

Software Update

Vi vill tacka Omar Siman för hjälpen.

Spotlight

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College Of Technology Bhopal, Dawid Pałuska för hjälpen.

StorageKit

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

Video Apps

Vi vill tacka James Duffy (mangoSecure) för hjälpen.

WebKit

Vi vill tacka Khiem Tran, Narendra Bhati från Suma Soft Pvt. Ltd. Pune (Indien) och en anonym forskare för hjälpen.

WebRTC

Vi vill tacka en anonym forskare för hjälpen.

Wi-Fi

Vi vill tacka Adam M. och Wang Yu på Cyberserval för hjälpen.

Uppdaterades 22 december 2023

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: 19 augusti 2024