Om säkerhetsinnehållet i macOS Ventura 13.6.1

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

Släpptes den 25 oktober 2023

CoreAnimation

Tillgängligt för: macOS Ventura

Effekt: En app kan orsaka ett dos-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40449: Tomi Tokics (@tomitokics) på iTomsn0w

Core Recents

Tillgängligt för: macOS Ventura

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet löstes genom rensning av loggningar

CVE-2023-42823

Lades till 16 februari 2024

FileProvider

Tillgängligt för: macOS Ventura

Effekt: En app kan orsaka ett dos-angrepp på Endpoint Security-klienter

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2023-42854: Noah Roskin-Frazee och professor J. (ZeroClicks.ai Lab)

Find My

Tillgängligt för: macOS Ventura

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2023-40413: Adam M.

Foundation

Tillgängligt för: macOS Ventura

Effekt: En webbplats kan komma åt känsliga användardata när symlänkar löses

Beskrivning: Problemet åtgärdades genom förbättrad hantering av symlänkar.

CVE-2023-42844: Ron Masas på BreakPoint.SH

Image Capture

Tillgängligt för: macOS Ventura

Effekt: En app kanske kan komma åt skyddade användardata

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-41077: Mickey Jin (@patch1t)

ImageIO

Tillgängligt för: macOS Ventura

Effekt: Bearbetning av en bild kan leda till spridning av processminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40416: JZ

ImageIO

Tillgängligt för: macOS Ventura

Effekt: Bearbetning av en skadlig bild kan leda till heap-fel

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2023-42848: JZ

Lades till 16 februari 2024

IOTextEncryptionFamily

Tillgängligt för: macOS Ventura

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40423: En anonym forskare

iperf3

Tillgängligt för: macOS Ventura

Effekt: En fjärranvändare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-38403

Kernel

Tillgängligt för: macOS Ventura

Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kärnminnesbegränsningar

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-42849: Linus Henze på Pinauten GmbH (pinauten.de)

libc

Tillgängligt för: macOS Ventura

Effekt: Bearbetning av indata med skadligt innehåll kan leda till körning av opålitlig kod i användarinstallerade appar

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40446: inooo

Lades till 3 november 2023

libxpc

Tillgängligt för: macOS Ventura

Effekt: En skadlig app kan tillskansa sig rotbehörighet

Beskrivning: Problemet åtgärdades genom förbättrad hantering av symlänkar.

CVE-2023-42942: Mickey Jin (@patch1t)

Lades till 16 februari 2024

Model I/O

Tillgängligt för: macOS Ventura

Effekt: Bearbetning av en fil kan leda till oväntad appavslutning eller körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-42856: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

PackageKit

Tillgängligt för: macOS Ventura

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) och Hevel Engineering

CVE-2023-42877: Arsenii Kostromin (0x3c3e)

Lades till 16 februari 2024

PackageKit

Tillgängligt för: macOS Ventura

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-42840: Mickey Jin (@patch1t) och Csaba Fitzl (@theevilbit) på Offensive Security

Lades till 16 februari 2024

PackageKit

Tillgängligt för: macOS Ventura

Effekt: En app kan kringgå vissa inställningar för Integritet

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-42889: Mickey Jin (@patch1t)

Lades till 16 februari 2024

PackageKit

Tillgängligt för: macOS Ventura

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2023-42853: Mickey Jin (@patch1t)

Lades till 16 februari 2024

PackageKit

Tillgängligt för: macOS Ventura

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) på FFRI Security, Inc.

Lades till 16 februari 2024

Passkeys

Tillgängligt för: macOS Ventura

Effekt: En angripare kan komma åt nycklar utan autentisering

Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.

CVE-2023-40401: En anonym forskare och weize she

Pro Res

Tillgängligt för: macOS Ventura

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu och Guang Gong på 360 Vulnerability Research Institute

Pro Res

Tillgängligt för: macOS Ventura

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu och Guang Gong på 360 Vulnerability Research Institute

Lades till 16 februari 2024

SQLite

Tillgängligt för: macOS Ventura

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2023-36191

Lades till 16 februari 2024

talagent

Tillgängligt för: macOS Ventura

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2023-40421: Noah Roskin-Frazee och professor J. (ZeroClicks.ai Lab)

Weather

Tillgängligt för: macOS Ventura

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2023-41254: Cristian Dinca på Tudor Vianu National High School of Computer Science i Rumänien

WindowServer

Tillgängligt för: macOS Ventura

Effekt: En webbplats kan få tillgång till mikrofonen utan att mikrofonens indikator används

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2023-41975: En anonym forskare

WindowServer

Tillgängligt för: macOS Ventura

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-42858: en anonym forskare

Lades till 16 februari 2024

GPU Drivers

Vi vill tacka en anonym forskare för hjälpen.

libarchive

Vi vill tacka Bahaa Naamneh för hjälpen.

libxml2

Vi vill tacka OSS-Fuzz, Ned Williamson på Google Project Zero för hjälpen.