macOS Sonoma 14'ün güvenlik içeriği hakkında

Bu belgede macOS Sonoma 14'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

macOS Sonoma 14

Yayınlanma tarihi: 26 Eylül 2023

Airport

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bir izin sorunu giderildi.

CVE-2023-40384: Adam M.

AMD

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2023-32377: ABC Research s.r.o.

AMD

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-38615: ABC Research s.r.o.

App Store

Etki: Uzaktaki bir saldırgan Web İçeriği korumalı alanını ihlal edebilir

Açıklama: Protokollerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40448: w0wbox

Apple Neural Engine

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-42969: Ant Security Light-Year Lab'den pattern-f (@pattern_F_)

Giriş eklenme tarihi: 7 Nisan 2025

Apple Neural Engine

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Giriş güncellenme tarihi: 22 Aralık 2023

Apple Neural Engine

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-40410: Tim Michaud (@TimGMichaud), Moveworks.ai

AppleMobileFileIntegrity

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek izin denetimleriyle bu sorun giderildi.

CVE-2023-42872: Mickey Jin (@patch1t)

Giriş eklenme tarihi: 22 Aralık 2023

AppSandbox

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-42929: Mickey Jin (@patch1t)

Giriş eklenme tarihi: 22 Aralık 2023

AppSandbox

Etki: Bir uygulama, Notlar eklerine erişebilir

Açıklama: Sorun, veri kapsayıcısı erişimine kısıtlamanın iyileştirilmesiyle giderilmiştir.

CVE-2023-42925: Wojciech Reguła (@_r3ggi) ve Kirin (@Pwnrin)

Giriş eklenme tarihi: 16 Temmuz 2024

Ask to Buy

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-38612: Chris Ross (Zoom)

Giriş eklenme tarihi: 22 Aralık 2023

AuthKit

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32361: Csaba Fitzl (@theevilbit), Offensive Security

Bluetooth

Etki: Bir saldırgan kısıtlı sınırların dışında yazmaya neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-35984: zer0k

Bluetooth

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Etki: Bir uygulama, belirli Gizlilik tercihlerini atlayabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Etki: Bir dosyanın işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

Giriş eklenme tarihi: 22 Aralık 2023

bootp

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-41065: Adam M., Noah Roskin-Frazee ve Prof. Jason Lau (ZeroClicks.ai Lab)

Calendar

Etki: Bir uygulama, geçici bir dizine kaydedilmiş takvim verilerine erişebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-29497: Kirin (@Pwnrin) ve Yishu Wang

CFNetwork

Etki: Uygulama Aktarım Güvenliği bir uygulamada yürütülemeyebilir

Açıklama: Protokollerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-38596: Will Brattain, Trail of Bits

Clock

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-42943: Romanya'daki "Tudor Vianu" National High School of Computer Science'tan Cristian Dinca

Giriş eklenme tarihi: 16 Temmuz 2024

ColorSync

Etki: Bir uygulama, rastgele dosyaları okuyabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-40406: Theori'den JeongOhKyea

CoreAnimation

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40420: 이준성(Junsung Lee), Cross Republic

Core Data

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2023-40528: Kirin (@Pwnrin), NorthSea

Giriş eklenme tarihi: 22 Ocak 2024

Core Image

Etki: Bir uygulama geçici dizine kaydedilen düzenlenmiş fotoğraflara erişebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir sorun giderildi.

CVE-2023-40438: SecuRing'den Wojciech Regula (wojciechregula.blog)

Giriş eklenme tarihi: 22 Aralık 2023

CoreMedia

Etki: Bir kamera eklentisi, izin verilen uygulama dışındaki diğer uygulamalardan kamera görünümüne erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi

CVE-2023-41994: Halle Winkler, Politepix @hallewinkler

Giriş eklenme tarihi: 22 Aralık 2023

CUPS

Etki: Uzaktaki bir saldırgan servis reddine neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-40407: Sei K.

Dev Tools

Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

Giriş güncellenme tarihi: 22 Aralık 2023

FileProvider

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2023-41980: Noah Roskin-Frazee ve Profesör Jason Lau (ZeroClicks.ai Lab)

FileProvider

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2023-40411: Noah Roskin-Frazee ve Prof. J. (ZeroClicks.ai Lab) ile Offensive Security'den Csaba Fitzl (@theevilbit)

Giriş eklenme tarihi: 22 Aralık 2023

Game Center

Etki: Bir uygulama, kişilere erişebilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40395: Csaba Fitzl (@theevilbit), Offensive Security

GPU Drivers

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40391: Antonio Zekic (@antoniozekic), Dataflow Security

GPU Drivers

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir kaynak tükenmesi sorunu giderildi.

CVE-2023-40441: Imperva'dan Ron Masas

Graphics Drivers

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2023-42959: Murray Mike

Giriş eklenme tarihi: 16 Temmuz 2024

iCloud

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Hassas bilgileri silme işlemi iyileştirilerek bir izin sorunu giderildi.

CVE-2023-23495: Offensive Security'den Csaba Fitzl (@theevilbit)

iCloud Photo Library

Etki: Bir uygulama, kullanıcıların Fotoğraflar Arşivi'ne erişebilir

Açıklama: Ek sınırlamalar getirilerek bir konfigürasyon sorunu giderildi.

CVE-2023-40434: SensorFu'dan Mikko Kenttälä (@Turmio_)

Image Capture

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-41077: Mickey Jin (@patch1t)

Giriş eklenme tarihi: 7 Nisan 2025

Image Capture

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

Intents

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2023-42961: Mickey Jin (@patch1t)

Giriş eklenme tarihi: 7 Nisan 2025

IOAcceleratorFamily

Etki: Bir saldırgan, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğini okuyabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-40436: Murray Mike

IOUserEthernet

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40396: Certik Skyfall Ekibi

Giriş eklenme tarihi: 16 Temmuz 2024

Kernel

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-41995: Certik Skyfall Ekibi ve Ant Security Light-Year Lab'den pattern-f (@pattern_F_)

CVE-2023-42870: Kunlun Lab'den Zweig

Giriş güncellenme tarihi: 22 Aralık 2023

Kernel

Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği önlemlerini atlayabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41981: Linus Henze, Pinauten GmbH (pinauten.de)

Kernel

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927), STAR Labs SG Pte. Ltd.

Kernel

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Doğrulama işlemi iyileştirilerek izin sorunu giderildi.

CVE-2023-40429: Michael (Biscuit) Thomas ve 张师傅 (@京东蓝军)

Kernel

Etki: Uzaktaki bir kullanıcı çekirdek kodunun yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2023-41060: MIT CSAIL'den Joseph Ravichandran (@0xjprx)

Giriş eklenme tarihi: 22 Aralık 2023

LaunchServices

Etki: Bir uygulama, Gatekeeper kontrollerini atlayabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-41067: Jamf Software'den Ferdous Saljooki (@malwarezoo) ve anonim bir araştırmacı

libpcap

Etki: Uzaktaki bir kullanıcı, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-40400: Sei K.

libxpc

Etki: Bir uygulama, izni olmadan dosya silebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2023-40454: Zhipeng Huo (@R3dF09), Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2023-41073: Zhipeng Huo (@R3dF09), Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40403: Dohyun Lee (@l33d0hyun), PK Security

Maps

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40427: Adam M. ve Wojciech Regula, SecuRing (wojciechregula.blog)

Maps

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2023-42957: BreakPoint Security Research'ten Adam M. ve Ron Masas

Giriş eklenme tarihi: 16 Temmuz 2024

Messages

Etki: Bir uygulama, korunmayan kullanıcı verilerini izleyebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-32421: NorthSea'den Meng Zhang (鲸落), BreakPoint Security Research'ten Ron Masas, Brian McNulty ve Texts.com'dan Kishan Bagaria

Model I/O

Etki: Bir dosyanın işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-42981: Trend Micro Zero Day Initiative programından Michael DePlante (@izobashi)

CVE-2023-42982: Trend Micro Zero Day Initiative programından Michael DePlante (@izobashi)

CVE-2023-42983: Trend Micro Zero Day Initiative programından Michael DePlante (@izobashi)

Giriş eklenme tarihi: 7 Nisan 2025

Model I/O

Etki: Bir dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-42826: Trend Micro Zero Day Initiative programından Michael DePlante (@izobashi)

Giriş eklenme tarihi: 19 Ekim 2023

Model I/O

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2023-42918: Mickey Jin (@patch1t)

Giriş eklenme tarihi: 16 Temmuz 2024

Music

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2023-40455: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09)

Notes

Etki: Bir uygulama, Notlar eklerine erişebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Etki, OpenSSH uzaktan yönlendirmede bir güvenlik açığı tespit edildi

Açıklama: OpenSSH 9.3p2 sürümüne güncellenerek bu sorun giderildi

CVE-2023-38408: baba yaga, anonim bir araştırmacı

Giriş eklenme tarihi: 22 Aralık 2023

Passkeys

Etki: Saldırgan, kimlik doğrulama olmadan geçiş anahtarlarına erişebilir

Açıklama: Ek izin denetimleriyle bu sorun giderildi.

CVE-2023-40401: weize she ve anonim bir araştırmacı

Giriş eklenme tarihi: 22 Aralık 2023

Photos

Etki: Gizli Fotoğraflar Albümü'ndeki fotoğraflar kimlik doğrulama olmadan görüntülenebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2023-40393: anonim bir araştırmacı, Berke Kırbaş ve Harsh Jaiswal

Giriş eklenme tarihi: 22 Aralık 2023

Photos

Etki: Bir uygulama, geçici dizine kaydedilen düzenlenmiş fotoğraflara erişebilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2023-42949: Kirin (@Pwnrin)

Giriş eklenme tarihi: 16 Temmuz 2024

Photos Storage

Etki: Kök ayrıcalıklarına sahip bir uygulama gizli bilgilere erişebilir

Açıklama: Savunmasız kod kaldırılarak, bilgilerin açığa çıkması sorunu giderildi.

CVE-2023-42934: SecuRing'den Wojciech Regula (wojciechregula.blog)

Giriş eklenme tarihi: 22 Aralık 2023

Power Management

Etki: Kullanıcı kilitli ekrandan sınırlanmış içerikleri görüntüleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir kilitli ekran sorunu giderildi.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, George Mason University'den Sina Ahmadi ve Billy Tabrizi

Giriş güncellenme tarihi: 22 Aralık 2023

Power Services

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2023-42977: Mickey Jin (@patch1t)

Giriş eklenme tarihi: 7 Nisan 2025

Printing

Etki: Bir uygulama, Yazıcı ayarlarını değiştirebilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Giriş eklenme tarihi: 22 Aralık 2023

Printing

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-41987: Kirin (@Pwnrin) ve SecuRing'den Wojciech Regula (wojciechregula.blog)

Giriş eklenme tarihi: 22 Aralık 2023

Pro Res

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41063: Certik Skyfall Ekibi

QuartzCore

Etki: Bir uygulama servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40422: iTomsn0w'dan Tomi Tokics (@tomitokics)

Safari

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Etki: Safari, fotoğrafları korunmayan bir konuma kaydedebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Etki: Bir uygulama, kullanıcının yüklediği diğer uygulamaları belirleyebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-35990: Sentry Cybersecurity'den Adriatik Raci

Safari

Etki: Kötü amaçlı içerikler barındıran bir web sitesinin ziyaret edilmesi, kullanıcı arabirimi sahteciliğine (UI spoofing) neden olabilir

Açıklama: Durum yönetimi iyileştirilerek pencere yönetimi sorunu giderildi.

CVE-2023-40417: Suma Soft Pvt. Ltd, Pune (Hindistan) şirketinden Narendra Bhati (twitter.com/imnarendrabhati)

Giriş güncellenme tarihi: 22 Aralık 2023

Sandbox

Etki: Kök ayrıcalıklarına sahip bir uygulama gizli bilgilere erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-40425: Offensive Security'den Csaba Fitzl (@theevilbit)

Giriş eklenme tarihi: 7 Nisan 2025

Sandbox

Etki: Bir uygulama, rastgele dosyaların üzerine yazabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Etki: Bir uygulama, kullanıcı izni olmadan çıkarılabilir birimlere erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Giriş eklenme tarihi: 22 Aralık 2023

Sandbox

Etki: Doğrulama kontrolleri başarısız olan uygulamalar yine de başlatılabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-41996: Mickey Jin (@patch1t) ve Yiğit Can YILMAZ (@yilmazcanyigit)

Giriş eklenme tarihi: 22 Aralık 2023

Screen Sharing

Etki: Bir uygulama, belirli Gizlilik tercihlerini atlayabilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2023-41078: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09)

Share Sheet

Etki: Bir uygulama, kullanıcı bağlantı paylaştığında günlüğe kaydedilen hassas verilere erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Etki: Bir kestirme, izin almadan hassas kullanıcı verilerinin çıktısını oluşturabilir

Açıklama: Bu sorun, kullanıcı izni için ek istem eklenerek giderildi.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) ve James Duffy (mangoSecure)

Shortcuts

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2023-41079: BreakPoint.sh'ten Ron Masas ve anonim bir araştırmacı

Spotlight

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

Giriş eklenme tarihi: 22 Aralık 2023

StorageKit

Etki: Bir uygulama, rastgele dosyaları okuyabilir

Açıklama: Sembolik bağlantıların doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2023-41968: Mickey Jin (@patch1t) ve James Hutchins

System Preferences

Etki: Bir uygulama, Gatekeeper kontrollerini atlayabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-40450: Computest Sector 7'dan Thijs Alkemade (@xnyhps)

System Settings

Etki: macOS Kurtarma'da bir Mac etkinleştirilirken bir Wi-Fi parolası silinemeyebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2023-42948: Andrew Haggard

Giriş eklenme tarihi: 16 Temmuz 2024

TCC

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2023-38614: Brian McNulty, Offensive Security'den Csaba Fitzl (@theevilbit)

Giriş eklenme tarihi: 7 Nisan 2025

TCC

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-40424: Offensive Security'den Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) ve Csaba Fitzl (@theevilbit)

WebKit

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

WebKit Bugzilla: 249451

CVE-2023-39434: PK Security'den Francisco Alonso (@revskills) ve Dohyun Lee (@l33d0hyun)

WebKit Bugzilla: 258992

CVE-2023-40414: Francisco Alonso (@revskills)

WebKit Bugzilla: 259583

CVE-2023-42970: 이준성(Junsung Lee), Cross Republic

Giriş güncellenme tarihi: 07 Nisan 2025

WebKit

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

WebKit Bugzilla: 256551

CVE-2023-41074: 이준성(Junsung Lee), Cross Republic ve Jie Ding(@Lime), HKUS3 Lab

Giriş güncellenme tarihi: 22 Aralık 2023

WebKit

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 239758

CVE-2023-35074: AbyssLab'den Dong Jun Kim (@smlijun) ile Jong Seong Kim (@nevul37) ve zhunki

WebKit Bugzilla: 259606

CVE-2023-42875: 이준성(Junsung Lee)

Giriş güncellenme tarihi: 07 Nisan 2025

WebKit

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, iOS 16.7'den önceki iOS sürümlerinde bu sorundan etkin şekilde yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Denetimler iyileştirilerek sorun giderildi.

WebKit Bugzilla: 261544

CVE-2023-41993: Toronto Üniversitesi Munk School'da bulunan Citizen Lab'den Bill Marczak ve Google Threat Analysis Group'tan Maddie Stone

WebKit

Etki: Kullanıcının parolası VoiceOver tarafından seslendirilebilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

WebKit Bugzilla: 248717

CVE-2023-32359: Claire Houston

Giriş eklenme tarihi: 22 Aralık 2023

WebKit

Etki: Uzaktaki bir saldırgan, Özel Geçiş etkinken sızdırılan DNS sorgularını görüntüleyebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

WebKit Bugzilla: 257303

CVE-2023-40385: Anonim

Giriş eklenme tarihi: 22 Aralık 2023

WebKit

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bir doğruluk sorunu giderildi.

WebKit Bugzilla: 258592

CVE-2023-42833: AbyssLab'den Dong Jun Kim (@smlijun) ve Jong Seong Kim (@nevul37)

Giriş eklenme tarihi: 22 Aralık 2023

Wi-Fi

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir

Açıklama: Savunmasız kod kaldırılarak bir bellek bozulması sorunu giderildi.

CVE-2023-38610: Cyberserval'dan Wang Yu

Giriş eklenme tarihi: 22 Aralık 2023

Windows Installer

Etki: Bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2023-41076: Mickey Jin (@patch1t)

Giriş eklenme tarihi: 7 Nisan 2025

Windows Server

Etki: Bir uygulama, kullanıcının kimlik bilgilerini güvenli metin alanlarından beklenmedik şekilde sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2023-41066: Anonim bir araştırmacı, MacEnhance'den Jeremy Legendre ve Felix Kratz

Giriş güncellenme tarihi: 22 Aralık 2023

XProtectFramework

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Ek teşekkür listesi

Airport

Adam M., Noah Roskin-Frazee ve Profesör Jason Lau'ya (ZeroClicks.ai Lab) yardımları için teşekkür ederiz.

AppKit

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

AppSandbox

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

Archive Utility

Yardımları için Mickey Jin'e (@patch1t) teşekkür ederiz.

Audio

Yardımları için Mickey Jin'e (@patch1t) teşekkür ederiz.

Bluetooth

Yardımları için 360 Vulnerability Research Institute kurumundan Jianjun Dai ve Guang Gong'a teşekkür ederiz.

Books

Nixu Cybersecurity'den Aapo Oksman'a yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 22 Aralık 2023

Control Center

Yiğit Can YILMAZ'a (@yilmazcanyigit) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 22 Aralık 2023

Core Location

Wouter Hennen'a yardımı için teşekkür ederiz.

CoreMedia Playback

Yardımları için Mickey Jin'e (@patch1t) teşekkür ederiz.

CoreServices

Yardımları için Computest Sector 7'dan Thijs Alkemade, SecuRing'den Wojciech Reguła (@_r3ggi) ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 22 Aralık 2023

Data Detectors UI

Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) yardımı için teşekkür ederiz.

Find My

Cher Scarlett ve Imran Kočan'a yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 07 Nisan 2025

Home

Jake Derouin'e (jakederouin.com) yardımı için teşekkür ederiz.

IOGraphics

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

IOUserEthernet

Certik Skyfall Ekibi'ne yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 22 Aralık 2023

Kernel

永超王, Toronto Üniversitesi Munk Okulu'ndaki The Citizen Lab'den Bill Marczak, Google Threat Analysis Group'tan Maddie Stone ve Pangu Lab'den Xinru Chi'ye yardımları için teşekkür ederiz.

libxml2

Yardımları için OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a teşekkür ederiz.

libxpc

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

libxslt

PK Security'den Dohyun Lee'ye (@l33d0hyun), OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.

Mail

Zone Media OÜ şirketinden Taavi Eomäe'ya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 22 Aralık 2023

Menus

Google Chrome Security'den Matthew Denton'a yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 22 Aralık 2023

NSURL

糖豆爸爸(@晴天组织) ve Zhanpeng Zhao'ya (行之) yardımları için teşekkür ederiz.

PackageKit

Offensive Security'den Csaba Fitzl'e (@theevilbit) ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Photos

Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius ve Paul Lurin'e yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 16 Temmuz 2024

Reminders

Paweł Szafirowski'ye yardımı için teşekkür ederiz.

Safari

Punggawa Cyber Security'den Kang Ali'ye yardımları için teşekkür ederiz.

Sandbox

Alibaba Group'tan Wenchao Li ve Xiaolong Bai'ye ve Yiğit Can YILMAZ'a (@yilmazcanyigit) yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 07 Nisan 2025

SharedFileList

Christopher Lopez - @L0Psec ve Kandji, Zoom Video Communications'dan Leo Pitt, GMO Cybersecurity by Ierae şirketinden Masahiro Kawada (@kawakatz) ve Ross Bingham'a (@PwnDexter) yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 22 Aralık 2023

Shortcuts

Yardımları için Alfie CG'ye, Bundesamt für Sicherheit in der Informationstechnik'ten Christian Basting'e, "Tudor Vianu" Romanya Ulusal Bilgisayar Bilimleri Lisesinden Cristian Dinca'ya, Giorgos Christodoulidis'e, TRS Group Of Companies'den Jubaer Alnazi'ye, KRISHAN KANT DWIVEDI'ye (@xenonx7) ve Matthew Butler'a teşekkür ederiz.

Giriş güncellenme tarihi: 24 Nisan 2024

Software Update

Yardımları için Omar Siman'a teşekkür ederiz.

Spotlight

Dawid Pałuska'ya ve Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) yardımları için teşekkür ederiz.

StorageKit

Yardımları için Mickey Jin'e (@patch1t) teşekkür ederiz.

Video Apps

James Duffy'ye (mangoSecure) yardımı için teşekkür ederiz.

WebKit

Khiem Tran, Suma Soft Pvt. Ltd, Pune (Hindistan) şirketinden Narendra Bhati ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

WebRTC

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Wi-Fi

Yardımları için Adam M. ve Cyberserval'dan Wang Yu'ya teşekkür ederiz.

Giriş güncellenme tarihi: 22 Aralık 2023

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: 14 Nisan 2025