macOS Sonoma 14'ün güvenlik içeriği hakkında

Bu belgede macOS Sonoma 14'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

macOS Sonoma 14

Yayınlanma tarihi: 26 Eylül 2023

Airport

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Uygulamalar, gizli konum bilgilerini okuyabilir

Açıklama: Hassas bilgileri silme işlemi iyileştirilerek bir izin sorunu giderildi.

CVE-2023-40384: Adam M.

AMD

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2023-32377: ABC Research s.r.o.

AMD

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-38615: ABC Research s.r.o.

App Store

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Uzaktaki bir saldırgan Web İçeriği korumalı alanını ihlal edebilir

Açıklama: Protokollerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40448: w0wbox

Apple Neural Engine

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-40410: Moveworks.ai'den Tim Michaud (@TimGMichaud)

AuthKit

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32361: Offensive Security'den Csaba Fitzl (@theevilbit)

Bluetooth

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir saldırgan kısıtlı sınırların dışında yazmaya neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-35984: zer0k

Bluetooth

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, belirli Gizlilik tercihlerini atlayabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

bootp

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Uygulamalar, gizli konum bilgilerini okuyabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-41065: Adam M., Noah Roskin-Frazee ve Prof. Jason Lau (ZeroClicks.ai Lab)

Calendar

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, geçici bir dizine kaydedilmiş takvim verilerine erişebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-29497: Kirin (@Pwnrin) ve Yishu Wang

CFNetwork

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Uygulama Aktarım Güvenliği bir uygulamada yürütülemeyebilir

Açıklama: Protokollerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-38596: Trail of Bits'ten Will Brattain

ColorSync

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, rastgele dosyaları okuyabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-40406: Theori'den JeongOhKyea

CoreAnimation

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40420: Cross Republic'ten 이준성 (Junsung Lee)

CUPS

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Uzaktaki bir saldırgan servis reddine neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-40407: Sei K.

Dev Tools

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-32396: Mickey Jin (@patch1t)

FileProvider

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2023-41980: Noah Roskin-Frazee ve Profesör Jason Lau (ZeroClicks.ai Lab)

Game Center

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, kişilere erişebilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40395: Offensive Security'den Csaba Fitzl (@theevilbit)

GPU Drivers

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40391: Dataflow Security'den Antonio Zekic (@antoniozekic)

GPU Drivers

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir kaynak tükenmesi sorunu giderildi.

CVE-2023-40441: Imperva'dan Ron Masas

iCloud

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Hassas bilgileri silme işlemi iyileştirilerek bir izin sorunu giderildi.

CVE-2023-23495: Offensive Security'den Csaba Fitzl (@theevilbit)

iCloud Photo Library

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, kullanıcıların Fotoğraflar Arşivi'ne erişebilir

Açıklama: Ek sınırlamalar getirilerek bir konfigürasyon sorunu giderildi.

CVE-2023-40434: SensorFu'dan Mikko Kenttälä (@Turmio_)

Image Capture

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir saldırgan, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğini okuyabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-40436: Murray Mike

Kernel

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-41995: Certik Skyfall Ekibi ve Ant Security Light-Year Lab'den pattern-f (@pattern_F_)

Kernel

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği önlemlerini atlayabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41981: Pinauten GmbH'den (pinauten.de) Linus Henze

Kernel

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41984: STAR Labs SG Pte. Şirketinden Pan ZhenPeng (@Peterpan0927) şirketinden Pan ZhenPeng (@Peterpan0927)

Kernel

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Doğrulama işlemi iyileştirilerek izin sorunu giderildi.

CVE-2023-40429: Michael (Biscuit) Thomas ve 张师傅 (@京东蓝军)

LaunchServices

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, Gatekeeper kontrollerini atlayabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-41067: Jamf Software'den Ferdous Saljooki (@malwarezoo) ve anonim bir araştırmacı

libpcap

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Uzaktaki bir kullanıcı, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-40400: Sei K.

libxpc

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, izni olmadan dosya silebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2023-40454: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09)

libxpc

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2023-41073: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09)

libxslt

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40403: PK Security'den Dohyun Lee (@l33d0hyun)

Maps

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Uygulamalar, gizli konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40427: Adam M. ve SecuRing'den Wojciech Regula (wojciechregula.blog)

Messages

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, korunmayan kullanıcı verilerini izleyebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-32421: NorthSea'den Meng Zhang (鲸落), BreakPoint Security Research'ten Ron Masas, Brian McNulty ve Texts.com'dan Kishan Bagaria

Model I/O

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-42826: Trend Micro Zero Day Initiative programından Michael DePlante (@izobashi)

Giriş eklenme tarihi: 19 Ekim 2023

Music

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2023-40455: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09)

Notes

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, Notlar eklerine erişebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-40386: Kirin (@Pwnrin)

Power Management

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Kullanıcı kilitli ekrandan sınırlanmış içerikleri görüntüleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir kilitli ekran sorunu giderildi.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, George Mason University'den Sina Ahmadi ve Dominic Tabrizi

Pro Res

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41063: Certik Skyfall Ekibi

QuartzCore

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40422: iTomsn0w'dan Tomi Tokics (@tomitokics)

Safari

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Safari, fotoğrafları korunmayan bir konuma kaydedebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, kullanıcının yüklediği diğer uygulamaları belirleyebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-35990: Sentry Cybersecurity'den Adriatik Raci

Safari

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Kötü amaçlı içerikler barındıran bir web sitesinin ziyaret edilmesi, kullanıcı arabirimi sahteciliğine (UI spoofing) neden olabilir

Açıklama: Durum yönetimi iyileştirilerek pencere yönetimi sorunu giderildi.

CVE-2023-40417: Pune'deki (Hindistan) Suma Soft Pvt. şirketinden Narendra Bhati

Sandbox

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, rastgele dosyaların üzerine yazabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Screen Sharing

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, belirli Gizlilik tercihlerini atlayabilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2023-41078: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09)

Share Sheet

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, kullanıcı bağlantı paylaştığında günlüğe kaydedilen hassas verilere erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir kestirme, izin almadan hassas kullanıcı verilerinin çıktısını oluşturabilir

Açıklama: Bu sorun, kullanıcı izni için ek istem eklenerek giderildi.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) ve James Duffy (mangoSecure)

Shortcuts

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2023-41079: BreakPoint.sh'ten Ron Masas ve anonim bir araştırmacı

StorageKit

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, rastgele dosyaları okuyabilir

Açıklama: Sembolik bağlantıların doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2023-41968: Mickey Jin (@patch1t) ve James Hutchins

System Preferences

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, Gatekeeper kontrollerini atlayabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-40450: Computest Sector 7'dan Thijs Alkemade (@xnyhps)

TCC

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-40424: Offensive Security'den Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) ve Csaba Fitzl (@theevilbit)

WebKit

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

WebKit Bugzilla: 249451
CVE-2023-39434: PK Security'den Francisco Alonso (@revskills) ve Dohyun Lee (@l33d0hyun)

WebKit

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

WebKit Bugzilla: 256551
CVE-2023-41074: Cross Republic and me Li'den 이준성 (Junsung Lee)

WebKit

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 239758
CVE-2023-35074: Abysslab Dong Jun Kim (@smlijun) ve Jong Seong Kim (@nevul37)

WebKit

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, iOS 16.7'den önceki iOS sürümlerinde bu sorundan etkin şekilde yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Denetimler iyileştirilerek sorun giderildi.

WebKit Bugzilla: 261544
CVE-2023-41993: Toronto Üniversitesi Munk School'da bulunan Citizen Lab'den Bill Marczak ve Google Threat Analysis Group'tan Maddie Stone

Windows Server

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, kullanıcının kimlik bilgilerini güvenli metin alanlarından beklenmedik şekilde sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2023-41066: Anonim bir araştırmacı ve MacEnhance'ten Jeremy Legendre

XProtectFramework

İlgili ürünler: Mac Studio (2022 ve sonraki modelleri), iMac (2019 ve sonraki modelleri), Mac Pro (2019 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2018 ve sonraki modelleri) ve iMac Pro (2017)

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

 


Ek teşekkür listesi

Airport

Adam M., Noah Roskin-Frazee ve Profesör Jason Lau'ya (ZeroClicks.ai Lab) yardımları için teşekkür ederiz.

AppKit

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

AppSandbox

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

Archive Utility

Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.

Audio

Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.

Bluetooth

Yardımları için 360 Vulnerability Research Institute kurumundan Jianjun Dai ve Guang Gong'a teşekkür ederiz.

Core Location

Wouter Hennen'a yardımı için teşekkür ederiz.

CoreMedia Playback

Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz. 

Data Detectors UI

Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) yardımı için teşekkür ederiz.

Find My

Cher Scarlett'e yardımı için teşekkür ederiz.

Home

Jake Derouin'e (jakederouin.com) yardımı için teşekkür ederiz.

IOGraphics

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Kernel

永超 王, Toronto Üniversitesi Munk Okulu'ndaki The Citizen Lab'den Bill Marczak, Google Threat Analysis Group'tan Maddie Stone ve Pangu Lab'den Xinru Chi'ye yardımları için teşekkür ederiz.

libxml2

OSS-Fuzz ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.

libxpc

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

libxslt

PK Security'den Dohyun Lee'ye (@l33d0hyun), OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.

Model I/O

Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.

NSURL

糖豆爸爸(@晴天组织) ve Zhanpeng Zhao'ya (行之) yardımları için teşekkür ederiz.

PackageKit

Offensive Security'den Csaba Fitzl'e (@theevilbit) ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Photos

Anatolii Kozlov, Dawid Pałuska, Kirin (@Pwnrin), Lyndon Cornelius ve Paul Lurin'e yardımları için teşekkür ederiz.

Reminders

Paweł Szafirowski'ye yardımı için teşekkür ederiz.

Safari

Punggawa Cyber Security'den Kang Ali'ye yardımları için teşekkür ederiz.

Sandbox

Yiğit Can YILMAZ'a (@yilmazcanyigit) yardımı için teşekkür ederiz.

SharedFileList

Ross Bingham'a (@PwnDexter), Kandji'den Christopher Lopez'e (@L0Psec) ve Zoom Video Communications'tan Leo Pitt'e yardımları için teşekkür ederiz.

Shortcuts

Alfie Cockell Gwinnett, Bundesamt für Sicherheit in der Informationstechnik'ten Christian Basting, Romanya "Tudor Vianu" National High School of Computer Science'tan Cristian Dinca, Giorgos Christodoulidis, TRS Group Of Companies'ten Jubaer Alnazi, KRISHAN KANT DWIVEDI ve Matthew Butler'a yardımları için teşekkür ederiz.

Software Update

Yardımı için Omar Siman'a teşekkür ederiz.

Spotlight

Dawid Pałuska'ya ve Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) yardımları için teşekkür ederiz.

StorageKit

Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz. 

Video Apps

James Duffy'ye (mangoSecure) yardımı için teşekkür ederiz.

WebKit

Yardımları için anonim bir araştırmacıya ve şirketinden Narendra Bhati ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

WebRTC

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Wi-Fi

Yardımı için Cyberserval'dan Wang Yu'ya teşekkür ederiz.

 

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: