macOS Sonoma 14.1'in güvenlik içeriği hakkında

Bu belgede macOS Sonoma 14.1'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

macOS Sonoma 14.1

App Support

İlgili sürüm: macOS Sonoma

Etki: Bir dosyanın ayrıştırılması, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2023-30774

AppSandbox

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2023-40444: Noah Roskin-Frazee ve Prof. J. (ZeroClicks.ai Lab)

Automation

İlgili sürüm: macOS Sonoma

Etki: Kök ayrıcalıklarına sahip bir uygulama gizli bilgilere erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-42952: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09)

Bluetooth

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, Bluetooth'a yetkisiz erişim sağlayabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2023-42945

Contacts

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-41072: Wojciech Regula, SecuRing (wojciechregula.blog) ve Csaba Fitzl (@theevilbit), Offensive Security

CVE-2023-42857: Noah Roskin-Frazee ve Prof. J. (ZeroClicks.ai Lab)

CoreAnimation

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40449: Tomi Tokics (@tomitokics), iTomsn0w

Core Recents

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Sorun, günlük kaydı temizlenerek çözüldü

CVE-2023-42823

Emoji

İlgili sürüm: macOS Sonoma

Etki: Bir saldırgan, Kilitli Ekrandan kök olarak rastgele kod yürütebilir

Açıklama: Kilitli aygıtta sunulan seçenekler kısıtlanarak sorun giderildi.

CVE-2023-41989: Jewel Lambert

FileProvider

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, Uç Nokta Güvenliği istemcileri için servis reddine yol açabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2023-42854: Noah Roskin-Frazee ve Prof. J. (ZeroClicks.ai Lab)

Find My

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40413: Adam M.

Find My

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-42834: Offensive Security'den Csaba Fitzl (@theevilbit)

Foundation

İlgili sürüm: macOS Sonoma

Etki: Bir web sitesi, sembolik bağlantılar çözümlenirken hassas kullanıcı verilerine erişebilir

Açıklama: Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2023-42844: Ron Masas, BreakPoint.SH

Game Center

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol

ImageIO

İlgili sürüm: macOS Sonoma

Etki: Bir görüntünün işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40416: JZ

ImageIO

İlgili sürüm: macOS Sonoma

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-42848: JZ

IOTextEncryptionFamily

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40423: anonim bir araştırmacı

iperf3

İlgili sürüm: macOS Sonoma

Etki: Uzaktaki bir kullanıcı uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-38403

Kernel

İlgili sürüm: macOS Sonoma

Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği önlemlerini atlayabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-42849: Linus Henze, Pinauten GmbH (pinauten.de)

LaunchServices

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2023-42850: Computest Sector 7'den Thijs Alkemade (@xnyhps), Zhongquan Li (@Guluisacat) ve Bohdan Stasiuk (@Bohdan_Stasiuk)

libc

İlgili sürüm: macOS Sonoma

Etki: Kötü amaçlarla oluşturulmuş bir girişi işlemek, kullanıcının yüklediği uygulamalarda rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40446: inooo

libxpc

İlgili sürüm: macOS Sonoma

Etki: Kötü amaçlı bir uygulama, kök ayrıcalıkları kazanabilir

Açıklama: Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2023-42942: Mickey Jin (@patch1t)

Login Window

İlgili sürüm: macOS Sonoma

Etki: Standart bir kullanıcının kimlik bilgilerine sahip bir saldırgan, aynı Mac üzerinde başka bir standart kullanıcının kilitli ekran kilidini açabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser & CPU IT, inc, Matthew McLean, Steven Maser ve Concentrix'ten Avalon IT Ekibi

LoginWindow

İlgili sürüm: macOS Sonoma

Etki: Yerel bir saldırgan, hızlı kullanıcı değiştirme ekranından, daha önce oturum açmış olan kullanıcının masaüstünü görüntüleyebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2023-42935: ASentientBot

Mail Drafts

İlgili sürüm: macOS Sonoma

Etki: E-Postamı Gizle özelliği beklenmedik şekilde devre dışı bırakılabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2023-40408: Grzegorz Riegel

Maps

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-40405: Csaba Fitzl (@theevilbit), Offensive Security

MediaRemote

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-28826: Meng Zhang (鲸落), NorthSea

Model I/O

İlgili sürüm: macOS Sonoma

Etki: Bir dosyanın işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-42856: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

Networking

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-40404: Certik Skyfall Ekibi

PackageKit

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) ve Hevel Engineering

CVE-2023-42877: Arsenii Kostromin (0x3c3e)

PackageKit

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-42840: Mickey Jin (@patch1t) ve Csaba Fitzl (@theevilbit), Offensive Security

PackageKit

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-42853: Mickey Jin (@patch1t)

PackageKit

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2023-42860: FFRI Security, Inc. şirketinden Koh M. Nakagawa (@tsunek0h)

PackageKit

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, belirli Gizlilik tercihlerini atlatabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-42889: Mickey Jin (@patch1t)

Passkeys

İlgili sürüm: macOS Sonoma

Etki: Saldırgan, kimlik doğrulama olmadan geçiş anahtarlarına erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-42847: anonim bir araştırmacı

Photos

İlgili sürüm: macOS Sonoma

Etki: Gizli Fotoğraflar Albümü'ndeki fotoğraflar kimlik doğrulama olmadan görüntülenebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2023-42845: Bistrit Dahal

Pro Res

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu ve Guang Gong, 360 Vulnerability Research Institute

Pro Res

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-42873: 360 Vulnerability Research Institute'tan Mingxuan Yang (@PPPF00L), happybabywu ve Guang Gong

quarantine

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, rastgele kodu kendi korumalı alanından veya belirli yükseltilmiş ayrıcalıklarla yürütebilir

Açıklama: Korumalı alanda iyileştirmeler yapılarak erişim sorunu giderildi.

CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), Offensive Security'den Csaba Fitzl (@theevilbit)

RemoteViewServices

İlgili sürüm: macOS Sonoma

Etki: Bir saldırgan, kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-42835: Mickey Jin (@patch1t)

Safari

İlgili sürüm: macOS Sonoma

Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi göz atma geçmişini açığa çıkarabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41977: Alex Renda

Safari

İlgili sürüm: macOS Sonoma

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2023-42438: Rafay Baloch & Muhammad Samaak ve anonim bir araştırmacı

Sandbox

İlgili sürüm: macOS Sonoma

Etki: Bir saldırgan, ana dizine bağlı ağ disk bölümlerine erişim elde edebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-42878: Kirin (@Pwnrin), SecuRing'den Wojciech Regula (wojciechregula.blog) ve Romanya'daki "Tudor Vianu" Ulusal Bilgisayar Bilimleri Lisesinden Cristian Dinca

Siri

İlgili sürüm: macOS Sonoma

Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir

Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: Bistrit Dahal

Siri

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı bilgilerini sızdırabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-42946

SQLite

İlgili sürüm: macOS Sonoma

Etki: Uzaktaki bir kullanıcı, servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-36191

talagent

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2023-40421: Noah Roskin-Frazee ve Prof. J. (ZeroClicks.ai Lab)

Terminal

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-42842: anonim bir araştırmacı

Vim

İlgili sürüm: macOS Sonoma

Etki: Kötü amaçlı bir girişin işlenmesi kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-4733

CVE-2023-4734

CVE-2023-4735

CVE-2023-4736

CVE-2023-4738

CVE-2023-4750

CVE-2023-4751

CVE-2023-4752

CVE-2023-4781

Weather

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-41254: Cristian Dinca, "Tudor Vianu" National High School of Computer Science, Romanya

WebKit

İlgili sürüm: macOS Sonoma

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40447: 이준성(Junsung Lee), Cross Republic

WebKit

İlgili sürüm: macOS Sonoma

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-41976: 이준성(Junsung Lee)

WebKit

İlgili sürüm: macOS Sonoma

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-42852: Agile Information Security'den Pedro Ribeiro (@pedrib1337) ve Vitor Pedreira (@0xvhp_)

WebKit

İlgili sürüm: macOS Sonoma

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2023-42843: Kacper Kwapisz (@KKKas_)

WebKit Process Model

İlgili sürüm: macOS Sonoma

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41983: 이준성(Junsung Lee)

WindowServer

İlgili sürüm: macOS Sonoma

Etki: Bir web sitesi, mikrofon kullanımı göstergesi gösterilmeden mikrofona erişebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2023-41975: anonim bir araştırmacı

WindowServer

İlgili sürüm: macOS Sonoma

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-42858: anonim bir araştırmacı

Ek teşekkür listesi

libarchive

Yardımları için Bahaa Naamneh'e teşekkür ederiz.

libxml2

Yardımları için OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a teşekkür ederiz.

Login Window

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

man

Kirin'e (@Pwnrin) ve Roman Mishchenko'ya yardımları için teşekkür ederiz.

Power Manager

Yardımları için San Diego'daki University of California'dan Xia0o0o0o'ya (@Nyaaaaa_ovo) teşekkür ederiz.

Preview

Akshay Nagpal'a yardımı için teşekkür ederiz.

Reminders

Noah Roskin-Frazee ve Profesör J.'ye (ZeroClicks.ai Lab) yardımları için teşekkür ederiz.

Setup Assistant

Digvijay Sai Gujjarlapudi'ye, Kyle Andrews'a ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

System Extensions

Jamf Software'den Jaron Bradley, Ferdous Saljooki ve Austin Prueher'a yardımları için teşekkür ederiz.

WebKit

Anonim bir araştırmacıya yardımı için teşekkür ederiz.