Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan Apples produktsäkerhet.
macOS Ventura 13.6.5
Släpptes 7 mars 2024
Admin Framework
Tillgängligt för: macOS Ventura
Effekt: En app kanske kan öka behörigheter
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2024-23276: Kirin (@Pwnrin)
Airport
Tillgängligt för: macOS Ventura
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Tillgängligt för: macOS Ventura
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett nedgraderingsproblem som påverkade Intel-baserade Mac-datorer åtgärdades med ytterligare kodsigneringsbegränsningar.
CVE-2024-23269: Mickey Jin (@patch1t)
ColorSync
Tillgängligt för: macOS Ventura
Effekt: Bearbetning av en fil kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-23247: m4yfly med TianGong Team of Legendsec på Qi'anxin Group
CoreCrypto
Tillgängligt för: macOS Ventura
Effekt: En angripare kan dekryptera äldre RSA PKCS#1 v1.5-kodtexter utan tillgång till den privata nyckeln
Beskrivning: Ett problem med en timingsidokanal åtgärdades med förbättringar av kontinuerlig tidsberäkning av kryptografiska funktioner.
CVE-2024-23218: Clemens Lang
Skivavbilder
Tillgängligt för: macOS Ventura
Effekt: En app kan bryta sig ut från sin sandlåda
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-23299: en anonym forskare
Lades till 31 maj 2024
Find My
Tillgängligt för: macOS Ventura
Effekt: Ett skadlig app kan få tillgång till Hitta-data
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2024-23229: Joshua Jewett (@JoshJewett33)
Posten lades till den 13 maj 2024
Image Processing
Tillgängligt för: macOS Ventura
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-23270: En anonym forskare
ImageIO
Tillgängligt för: macOS Ventura
Effekt: Bearbetning av en bildfil kan leda till körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2024-23286: Junsung Lee i samarbete med Trend Micro Zero Day Initiative, Amir Bazine och Karsten König på CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) och Lyutoon and Mr.R
Uppdaterades 31 maj 2024
ImageIO
Tillgängligt för: macOS Ventura
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-23257: Junsung Lee i samarbete med Trend Micro Zero Day Initiative
Intel Graphics Driver
Tillgängligt för: macOS Ventura
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Tillgängligt för: macOS Ventura
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Tillgängligt för: macOS Ventura
Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne
Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.
CVE-2024-23265: Xinru Chi på Pangu Lab
Kernel
Tillgängligt för: macOS Ventura
Effekt: En angripare med opålitlig läs- och skrivkapacitet till kernel kan kringgå kernelns minnesskydd. Apple känner till en rapport om att det här problemet kan ha utnyttjats.
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2024-23225
libxpc
Tillgängligt för: macOS Ventura
Effekt: En app kan orsaka ett DoS-angrepp
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2024-23201: Koh M. Nakagawa på FFRI Security, Inc., en anonym forskare
libxpc
Tillgängligt för: macOS Ventura
Effekt: En app kan bryta sig ut från sin sandlåda
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-23278: En anonym forskare
MediaRemote
Tillgängligt för: macOS Ventura
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2023-28826: Meng Zhang (鲸落) från NorthSea
Metal
Tillgängligt för: macOS Ventura
Effekt: En app utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm i samarbete med Trend Micro Zero Day Initiative
Notes
Tillgängligt för: macOS Ventura
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2024-23283
PackageKit
Tillgängligt för: macOS Ventura
Effekt: En app kanske kan öka behörigheter
Beskrivning: Ett problem med inmatning åtgärdades genom förbättrad validering av indata.
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
CVE-2024-23268: Mickey Jin (@patch1t) och Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Tillgängligt för: macOS Ventura
Effekt: En app kanske kan komma åt skyddade användardata
Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.
CVE-2024-23275: Mickey Jin (@patch1t)
PackageKit
Tillgängligt för: macOS Ventura
Effekt: En app kan kringgå vissa inställningar för Integritet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Tillgängligt för: macOS Ventura
Effekt: En app kan skriva över opålitliga filer
Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
Share Sheet
Tillgängligt för: macOS Ventura
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2024-23231: Kirin (@Pwnrin) och luckyu (@uuulucky)
SharedFileList
Tillgängligt för: macOS Ventura
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet åtgärdades genom förbättrad filhantering.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Tillgängligt för: macOS Ventura
Effekt: En genväg kan använda känsliga data med vissa åtgärder utan att tillfråga användaren
Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.
CVE-2024-23203: En anonym forskare
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Tillgängligt för: macOS Ventura
Effekt: Kortkommandon från tredje part kan använda en äldre åtgärd från Automator för att skicka händelser till appar utan användarens tillstånd
Beskrivning: Det här problemet åtgärdades genom att lägga till en extra uppmaning om användarens samtycke.
CVE-2024-23245: En anonym forskare
Shortcuts
Tillgängligt för: macOS Ventura
Effekt: En app kan kringgå vissa inställningar för Integritet
Beskrivning: Ett integritetsproblem åtgärdades med förbättrad hantering av tillfälliga filer.
CVE-2024-23217: Kirin (@Pwnrin)
Storage Services
Tillgängligt för: macOS Ventura
Effekt: En angripare kan få tillgång till skyddade delar av filsystemet
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2024-23272: Mickey Jin (@patch1t)
Posten uppdaterades den 13 maj 2024
Transparens
Tillgängligt för: macOS Ventura
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet åtgärdades genom förbättrad begränsning av åtkomst till databehållare.
CVE-2023-40389: Csaba Fitzl (@theevilbit) på Offensive Security och Joshua Jewett (@JoshJewett33)
Posten lades till den 31 maj 2024