macOS Ventura 13.4'ün güvenlik içeriği hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

Yayınlama tarihi: 18 Mayıs 2023

Accessibility

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-32388: Kirin (@Pwnrin)

Accessibility

İlgili sürüm: macOS Ventura

Etki: Bu uygulamaya verilen yetkiler ve gizlilik izinleri kötü amaçlı bir uygulama tarafından kullanılabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-32400: Mickey Jin (@patch1t)

Accounts

İlgili sürüm: macOS Ventura

Etki: Bir saldırgan kullanıcı e-posta hesaplarını sızdırabilir

Açıklama: Hassas bilgileri düzeltme işlemi iyileştirilerek bir izin sorunu giderildi.

CVE-2023-34352: MacPaw Inc. şirketinden Sergii Kryvoblotskyi

Giriş eklenme tarihi: 5 Eylül 2023

AMD

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2023-32379: ABC Research s.r.o.

Giriş eklenme tarihi: 5 Eylül 2023

AppleMobileFileIntegrity

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.

CVE-2023-32411: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, Xcode ile paketlenmiş hassas ikiliklere kod girebilir

Açıklama: Bu sorun, etkilenen ikiliklere sistem seviyesinde artırılmış çalışma süresi dayatılarak ele alınmıştır.

CVE-2023-32383: James Duffy (mangoSecure)

Giriş eklenme tarihi: 21 Aralık 2023

Associated Domains

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-32371: James Duffy (mangoSecure)

Contacts

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, korunmayan kullanıcı verilerini izleyebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-32386: Kirin (@Pwnrin)

Core Location

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, gizli konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32399: Adam M.

Giriş güncellenme tarihi: 5 Eylül 2023

CoreServices

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Hassas bilgileri düzeltme işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-28191: Mickey Jin (@patch1t)

CUPS

İlgili sürüm: macOS Ventura

Etki: Kimliği doğrulanmamış bir kullanıcı son yazdırılan belgelere erişebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2023-32360: Gerhard Muth

dcerpc

İlgili sürüm: macOS Ventura

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-32387: Cisco Talos'tan Dimitrios Tatsis

DesktopServices

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-32414: Mickey Jin (@patch1t)

Face Gallery

İlgili sürüm: macOS Ventura

Etki: Kilitli Apple Watch'a fiziksel erişimi olan bir saldırgan, erişilebilirlik özellikleri aracılığıyla kullanıcı fotoğraflarını veya kişileri görüntüleyebilir

Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.

CVE-2023-32417: Zhuhai No.1 Lisesi'nden (珠海市第一中学) Zitong Wu (吴梓桐)

Giriş eklenme tarihi: 5 Eylül 2023

GeoServices

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, gizli konum bilgilerini okuyabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-32392: Adam M.

Giriş güncellenme tarihi: 5 Eylül 2023

ImageIO

İlgili sürüm: macOS Ventura

Etki: Bir görüntünün işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32372: Mbition Mercedes-Benz Innovation Lab'den Meysam Firouzi (@R00tkitSMM) (Trend Micro'nun Zero Day Initiative programıyla)

Giriş güncellenme tarihi: 5 Eylül 2023

ImageIO

İlgili sürüm: macOS Ventura

Etki: Bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) (Trend Micro'nun Zero Day Initiative programıyla)

IOSurface

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, hassas çekirdek durumunu sızdırabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu

IOSurfaceAccelerator

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32420: CertiK SkyFall Ekibi ve Pinauten GmbH'den (pinauten.de) Linus Henze

Giriş güncellenme tarihi: 5 Eylül 2023

Kernel

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Denetimler iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2023-27930: Jamf'ten 08Tc3wBB

Kernel

İlgili sürüm: macOS Ventura

Etki: Korumalı alandaki bir uygulama, sistem genelindeki ağ bağlantılarını gözlemleyebilir

Açıklama: Ek izin denetimleriyle bu sorun giderildi.

CVE-2023-27940: James Duffy (mangoSecure)

Kernel

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-32398: ASU SEFCOM'dan Adam Doupé

Kernel

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2023-32413: Synacktiv'den (@Synacktiv) Eloi Benoist-Vanderbeken (@elvanderb) (Trend Micro'nun Zero Day Initiative programıyla)

LaunchServices

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, Gatekeeper kontrollerini atlayabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-32352: SecuRing'den Wojciech Reguła (@_r3ggi) (wojciechregula.blog)

libxml2

İlgili sürüm: macOS Ventura

Etki: libxml2'de birden fazla sorun

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2023-29469: OSS-Fuzz, Google Project Zero'dan Ned Williamson

CVE-2023-42869: OSS-Fuzz, Google Project Zero'dan Ned Williamson

Giriş eklenme tarihi: 21 Aralık 2023

libxpc

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-32369: Microsoft'tan Jonathan Bar Or, Anurag Bohra ve Michael Pearse

libxpc

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-32405: Computest Sector 7'dan Thijs Alkemade (@xnyhps)

MallocStackLogging

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Dosya işleme iyileştirilerek bu sorun giderildi.

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

Giriş eklenme tarihi: 5 Eylül 2023

Metal

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

İlgili sürüm: macOS Ventura

Etki: Bir 3B modelin işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32368: Mickey Jin (@patch1t)

CVE-2023-32375: Michael DePlante (@izobashi) (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2023-32382: Mickey Jin (@patch1t)

Model I/O

İlgili sürüm: macOS Ventura

Etki: Bir 3B modelin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2023-32380: Mickey Jin (@patch1t)

NetworkExtension

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, gizli konum bilgilerini okuyabilir

Açıklama: Hassas bilgileri düzeltme işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-32403: Adam M.

Giriş güncellenme tarihi: 5 Eylül 2023

NSURLSession

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Dosya işleme protokolünde yapılan iyileştirmelerle sorun giderildi.

CVE-2023-32437: Computest Sector 7'dan Thijs Alkemade

Giriş eklenme tarihi: 5 Eylül 2023

PackageKit

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-32355: Mickey Jin (@patch1t)

PDFKit

İlgili sürüm: macOS Ventura

Etki: Bir PDF dosyasının açılması, uygulamanın beklenmedik şekilde sona ermesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2023-32385: Jonathan Fritz

Perl

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-32395: Arsenii Kostromin (0x3c3e)

Photos

İlgili sürüm: macOS Ventura

Etki: Gizli Fotoğraflar Albümü'nde yer alan fotoğraflar Görsel Arama aracılığıyla kimlik doğrulama olmadan görüntülenebiliyordu

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-32390: Julian Szulc

Quick Look

İlgili sürüm: macOS Ventura

Etki: Bir Office dosyasının ayrıştırılması, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2023-32401: BSI (Bilgi Güvenliği için Alman Federal Ofisi) adına Deutsche Telekom Security GmbH'den Holger Fuhrmannek

Giriş eklenme tarihi: 21 Aralık 2023

Sandbox

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, izni iptal edildikten sonra da sistem konfigürasyonu dosyalarına erişmeye devam edebilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), FFRI Security, Inc. şirketinden Koh M. Nakagawa, Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) ve Offensive Security'den Csaba Fitzl (@theevilbit)

Screen Saver

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Savunmasız kod kaldırılarak ve yeni denetimler eklenerek bir izin sorunu giderildi.

CVE-2023-32363: Mickey Jin (@patch1t)

Security

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.

CVE-2023-32367: James Duffy (mangoSecure)

Share Sheet

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-32432: Kirin (@Pwnrin)

Giriş eklenme tarihi: 5 Eylül 2023

Shell

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Shortcuts

İlgili sürüm: macOS Ventura

Etki: Bir kestirme, belirli eylemler gerçekleştirilirken kullanıcıya sormadan hassas verileri kullanabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-32391: Wenchao Li ve Alibaba Group'tan Xiaolong Bai

Shortcuts

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.

CVE-2023-32404: Mickey Jin (@patch1t), Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve anonim bir araştırmacı

Siri

İlgili sürüm: macOS Ventura

Etki: Aygıta fiziksel erişimi olan bir kullanıcı, kilitli ekrandan kişi bilgilerini görüntüleyebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-32394: Khiem Tran

SQLite

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Ek SQLite günlüğü kısıtlamaları eklenerek bu sorun giderildi.

CVE-2023-32422: Gergely Kalman (@gergely_kalman) ve SecuRing'den Wojciech Reguła (wojciechregula.blog)

Giriş güncellenme tarihi: 2 Haziran 2023

StorageKit

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.

CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)

sudo

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Sudo güncellenerek bu sorun giderildi.

CVE-2023-22809

Giriş eklenme tarihi: 5 Eylül 2023

System Settings

İlgili sürüm: macOS Ventura

Etki: Ayarlar uygulamasından çıkıldıktan sonra bir uygulama güvenlik duvarı ayarı etkinleşmeyebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2023-28202: Satish Panduranga ve anonim bir araştırmacı

Telephony

İlgili sürüm: macOS Ventura

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-32412: Google Project Zero'dan Ivan Fratric

TV App

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, gizli konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32408: Adam M.

Weather

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, gizli konum bilgilerini okuyabilir

Açıklama: Hassas bilgileri düzeltme işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-32415: SecuRing'den Wojciech Regula (wojciechregula.blog), anonim bir araştırmacı

WebKit

İlgili sürüm: macOS Ventura

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)

Giriş güncellenme tarihi: 21 Aralık 2023

WebKit

İlgili sürüm: macOS Ventura

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)

WebKit

İlgili sürüm: macOS Ventura

Etki: Uzaktaki bir saldırgan Web İçeriği korumalı alanını ihlal edebilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

WebKit Bugzilla: 255350
CVE-2023-32409: Google Threat Analysis Group'tan Clément Lecigne ve Amnesty International Security Lab'den Donncha Ó Cearbhaill

WebKit

İlgili sürüm: macOS Ventura

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

WebKit Bugzilla: 254930
CVE-2023-28204: anonim bir araştırmacı

Bu sorun ilk olarak macOS 13.3.1 (a) Hızlı Güvenlik Yanıtı'nda giderilmişti.

WebKit

İlgili sürüm: macOS Ventura

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

WebKit Bugzilla: 254840
CVE-2023-32373: anonim bir araştırmacı

Bu sorun ilk olarak macOS 13.3.1 (a) Hızlı Güvenlik Yanıtı'nda giderilmişti.

Wi-Fi

İlgili sürüm: macOS Ventura

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Hassas bilgileri düzeltme işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-32389: STAR Labs SG Pte. Ltd. şirketinden Pan ZhenPeng (@Peterpan0927)

Accounts

MacPaw Inc. şirketinden Sergii Kryvoblotskyi'ye yardımı için teşekkür ederiz.

CloudKit

Iconic'e yardımı için teşekkür ederiz.

Find My

Abhinav Thakur, Artem Starovoitov, Hodol K ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 21 Aralık 2023

libxml2

OSS-Fuzz ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.

Reminders

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

Rosetta

FFRI Security, Inc. şirketinden Koh M. Nakagawa'ya yardımı için teşekkür ederiz.

Safari

Khiem Tran'e (databaselog.com) yardımı için teşekkür ederiz.

Giriş güncellenme tarihi: 21 Aralık 2023

Security

Brandon Toms'a yardımı için teşekkür ederiz.

Share Sheet

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

Wallet

James Duffy'ye (mangoSecure) yardımı için teşekkür ederiz.

WebRTC

PK Security'den Dohyun Lee (@l33d0hyun) ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 21 Aralık 2023

Wi-Fi

Adam M.ye yardımı için teşekkür ederiz.

Giriş güncellenme tarihi: 21 Aralık 2023