Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan Apples produktsäkerhet.
macOS Sonoma 14.1
Släpptes den 25 oktober 2023
App Support
Tillgängligt för: macOS Sonoma
Effekt: Tolkning av en fil kan leda till en oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2023-30774
AppSandbox
Tillgängligt för: macOS Sonoma
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2023-40444: Noah Roskin-Frazee och Prof. J. (ZeroClicks.ai Lab)
Automation
Tillgängligt för: macOS Sonoma
Effekt: En app med rotbehörighet kan ha tillgång till privat information
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42952: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)
Lades till 16 februari 2024
Bluetooth
Tillgängligt för: macOS Sonoma
Effekt: En app kan få obehörig åtkomst till Bluetooth
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2023-42945
Lades till 16 februari 2024
Contacts
Tillgängligt för: macOS Sonoma
Effekt: En app kan komma åt känsliga användardata
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-41072: Wojciech Regula på SecuRing (wojciechregula.blog) och Csaba Fitzl (@theevilbit) på Offensive Security
CVE-2023-42857: Noah Roskin-Frazee och Prof. J. (ZeroClicks.ai Lab)
CoreAnimation
Tillgängligt för: macOS Sonoma
Effekt: En app kan orsaka ett DoS-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40449: Tomi Tokics (@tomitokics) på iTomsn0w
Core Recents
Tillgängligt för: macOS Sonoma
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet löstes genom rensning av loggningar
CVE-2023-42823
Lades till 16 februari 2024
Emoji
Tillgängligt för: macOS Sonoma
Effekt: En angripare kan kanske köra opålitlig kod som rot från låsskärmen
Beskrivning: Problemet åtgärdades genom att begränsa tillgängliga alternativ på en låst enhet.
CVE-2023-41989: Jewel Lambert
FileProvider
Tillgängligt för: macOS Sonoma
Effekt: En app kan orsaka ett DoS-angrepp på Endpoint Security-klienter
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2023-42854: Noah Roskin-Frazee och Prof. J. (ZeroClicks.ai Lab)
Find My
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-40413: Adam M.
Find My
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Ett integritetsproblem åtgärdades med förbättrad hantering av filer.
CVE-2023-42834: Csaba Fitzl (@theevilbit) på Offensive Security
Lades till 16 februari 2024
Foundation
Tillgängligt för: macOS Sonoma
Effekt: En webbplats kan kanske komma åt känsliga användardata när symlänkar löses
Beskrivning: Problemet åtgärdades genom förbättrad hantering av symlänkar.
CVE-2023-42844: Ron Masas på BreakPoint.SH
Game Center
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2023-42953: Michael (Biscuit) Thomas – @biscuit@social.lol
Lades till 16 februari 2024
ImageIO
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40416: JZ
ImageIO
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av en skadlig bild kan leda till heap-fel
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2023-42848: JZ
Lades till 16 februari 2024
IOTextEncryptionFamily
Tillgängligt för: macOS Sonoma
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40423: En anonym forskare
iperf3
Tillgängligt för: macOS Sonoma
Effekt: En fjärranvändare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-38403
Kernel
Tillgängligt för: macOS Sonoma
Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kärnminnesbegränsningar
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-42849: Linus Henze på Pinauten GmbH (pinauten.de)
LaunchServices
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet har åtgärdats genom förbättrad behörighetslogik.
CVE-2023-42850: Thijs Alkemade (@xnyhps) på Computest Sector 7, Brian McNulty, Zhongquan Li
libc
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av indata med skadligt innehåll kan leda till körning av opålitlig kod i användarinstallerade appar
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40446: inooo
Lades till 3 november 2023
libxpc
Tillgängligt för: macOS Sonoma
Effekt: En skadlig app kan kanske få rotbehörighet
Beskrivning: Problemet åtgärdades genom förbättrad hantering av symlänkar.
CVE-2023-42942: Mickey Jin (@patch1t)
Lades till 16 februari 2024
Login Window
Tillgängligt för: macOS Sonoma
Effekt: En angripare som känner till en standardanvändares inloggningsuppgifter kan låsa upp en annan standardanvändares låsta skärm på samma Mac
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser och CPU IT, inc, Matthew McLean, Steven Maser och it-teamet på Concentrix
Uppdaterades 27 oktober 2023
LoginWindow
Tillgängligt för: macOS Sonoma
Effekt: En lokal angripare kan visa föregående inloggad användares skrivbord från skärmen för snabbt användarbyte
Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.
CVE-2023-42935: ASentientBot
Posten lades till 22 januari 2024, uppdaterades 24 april 2024
Mail Drafts
Tillgängligt för: macOS Sonoma
Effekt: Dölj min e-postadress kan oväntat inaktiveras
Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.
CVE-2023-40408: Grzegorz Riegel
Maps
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-40405: Csaba Fitzl (@theevilbit) på Offensive Security
MediaRemote
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2023-28826: Meng Zhang (鲸落) från NorthSea
Lades till 7 mars 2024
Model I/O
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av en fil kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-42856: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative
Networking
Tillgängligt för: macOS Sonoma
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.
CVE-2023-40404: Certik Skyfall Team
PackageKit
Tillgängligt för: macOS Sonoma
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) och Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Lades till 16 februari 2024
PackageKit
Tillgängligt för: macOS Sonoma
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42840: Mickey Jin (@patch1t) och Csaba Fitzl (@theevilbit) på Offensive Security
Lades till 16 februari 2024
PackageKit
Tillgängligt för: macOS Sonoma
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-42853: Mickey Jin (@patch1t)
Lades till 16 februari 2024
PackageKit
Tillgängligt för: macOS Sonoma
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) på FFRI Security, Inc.
Lades till 16 februari 2024
PackageKit
Tillgängligt för: macOS Sonoma
Effekt: En app kan kringgå vissa inställningar för Integritet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42889: Mickey Jin (@patch1t)
Lades till 16 februari 2024
Passkeys
Tillgängligt för: macOS Sonoma
Effekt: En angripare kan komma åt lösenkoder utan autentisering
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-42847: En anonym forskare
Photos
Tillgängligt för: macOS Sonoma
Effekt: Bilder i albumet Gömda kan visas utan autentisering
Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.
CVE-2023-42845: Bistrit Dahal
Uppdaterades 16 februari 2024
Pro Res
Tillgängligt för: macOS Sonoma
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu och Guang Gong på 360 Vulnerability Research Institute
Pro Res
Tillgängligt för: macOS Sonoma
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu och Guang Gong på 360 Vulnerability Research Institute
Lades till 16 februari 2024
quarantine
Tillgängligt för: macOS Sonoma
Effekt: En app kan köra opålitlig kod från sin sandlåda eller med vissa högre behörigheter
Beskrivning: Ett åtkomstproblem åtgärdades med förbättringar av sandlådeläget.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), Csaba Fitzl (@theevilbit) på Offensive Security
Lades till 16 februari 2024
RemoteViewServices
Tillgängligt för: macOS Sonoma
Effekt: En angripare kan kanske komma åt användardata
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-42835: Mickey Jin (@patch1t)
Lades till 16 februari 2024
Safari
Tillgängligt för: macOS Sonoma
Effekt: Besök på en skadlig webbplats kan avslöja surfhistorik
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-41977: Alex Renda
Safari
Tillgängligt för: macOS Sonoma
Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas
Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.
CVE-2023-42438: Rafay Baloch och Muhammad Samaak och en anonym forskare
Sandbox
Tillgängligt för: macOS Sonoma
Effekt: En angripare kan kanske få åtkomst till anslutna nätverksvolymer som monterats i hemkatalogen
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Lades till 16 februari 2024
Sandbox
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet åtgärdades med förbättrad tillståndshantering.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Lades till 16 februari 2024
Share Sheet
Tillgängligt för: macOS Sonoma
Effekt: En app kan komma åt känsliga användardata
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula på SecuRing (wojciechregula.blog) och Cristian Dinca på Rumäniens nationella skola för datavetenskap Tudor Vianu
Lades till 16 februari 2024
Siri
Tillgängligt för: macOS Sonoma
Effekt: En angripare med fysisk åtkomst kanske kan använda Siri för att komma åt känsliga användardata
Beskrivning: Problemet åtgärdades genom att begränsa tillgängliga alternativ på en låst enhet.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Uppdaterades 16 februari 2024
Siri
Tillgängligt för: macOS Sonoma
Effekt: En app kan läcka känslig användarinformation
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2023-42946
Lades till 16 februari 2024
SQLite
Tillgängligt för: macOS Sonoma
Effekt: En fjärrangripare kan orsaka ett DoS-angrepp
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2023-36191
Lades till 16 februari 2024
talagent
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2023-40421: Noah Roskin-Frazee och Prof. J. (ZeroClicks.ai Lab)
Terminal
Tillgängligt för: macOS Sonoma
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42842: En anonym forskare
Vim
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av skadlig inmatning kan leda till körning av kod
Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.
CVE-2023-4733
CVE-2023-4734
CVE-2023-4735
CVE-2023-4736
CVE-2023-4738
CVE-2023-4750
CVE-2023-4751
CVE-2023-4752
CVE-2023-4781
Weather
Tillgängligt för: macOS Sonoma
Effekt: En app kan komma åt känsliga användardata
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-41254: Cristian Dinca på Rumäniens nationella skola för datavetenskap Tudor Vianu
WebKit
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) på Cross Republic
WebKit
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) och Vitor Pedreira (@0xvhp_) på Agile Information Security
Uppdaterades 16 februari 2024
WebKit
Tillgängligt för: macOS Sonoma
Effekt: Besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas
Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Lades till 16 februari 2024
WebKit Process Model
Tillgängligt för: macOS Sonoma
Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
WindowServer
Tillgängligt för: macOS Sonoma
Effekt: En webbplats kan få tillgång till mikrofonen utan att mikrofonens indikator används
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2023-41975: En anonym forskare
WindowServer
Tillgängligt för: macOS Sonoma
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42858: En anonym forskare
Lades till 16 februari 2024
Ytterligare tack
libarchive
Vi vill tacka Bahaa Naamneh för hjälpen.
libxml2
Vi vill tacka OSS-Fuzz, Ned Williamson på Google Project Zero för hjälpen.
Login Window
Vi vill tacka en anonym forskare för hjälpen.
man
Vi vill tacka Kirin (@Pwnrin) och Roman Mishchenko för hjälpen.
Uppdaterades 16 februari 2024
Power Manager
Vi vill tacka Xia0o0o0o (@Nyaaaaa_ovo) på University of California, San Diego för hjälpen.
Preview
Vi vill tacka Akshay Nagpal för hjälpen.
Lades till 16 februari 2024
Reminders
Vi vill tacka Noah Roskin-Frazee och professor J. (ZeroClicks.ai Lab) för hjälpen.
Setup Assistant
Vi vill tacka Digvijay Sai Gujjarlapudi och Kyle Andrews för hjälpen.
Lades till 24 april 2024
System Extensions
Vi vill tacka Jaron Bradley, Ferdous Saljooki och Austin Prueher från Jamf Softwaree för hjälpen.
Lades till 24 april 2024
WebKit
Vi vill tacka en anonym forskare för hjälpen.