Проблеми системи безпеки, які усунено в оновленні macOS Ventura 13.3

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Ventura 13.3.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. на сторінці Оновлення системи безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Ventura 13.3

AMD

Доступно для: macOS Ventura

Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2023-32436: ABC Research s.r.o.

AMD

Доступно для: macOS Ventura

Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2023-27968: ABC Research s.r.o.

CVE-2023-28209: ABC Research s.r.o.

CVE-2023-28210: ABC Research s.r.o.

CVE-2023-28211: ABC Research s.r.o.

CVE-2023-28212: ABC Research s.r.o.

CVE-2023-28213: ABC Research s.r.o.

CVE-2023-28214: ABC Research s.r.o.

CVE-2023-28215: ABC Research s.r.o.

CVE-2023-32356: ABC Research s.r.o.

Apple Neural Engine

Доступно для: macOS Ventura

Вплив: програма може виходити за межі ізольованого середовища.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-23532: Mohamed Ghannam (@_simo36)

AppleMobileFileIntegrity

Доступно для: macOS Ventura

Вплив: користувач може отримати доступ до захищених частин файлової системи.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-23527: Міккі Джин (Mickey Jin, @patch1t)

AppleMobileFileIntegrity

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2023-27931: Mickey Jin (@patch1t)

AppleScript

Доступно для: macOS Ventura

Вплив: обробка шкідливого бінарного файлу AppleScript може призводити до несподіваного завершення роботи програми або розкриття пам’яті процесу.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-28179: Міккі Джин (Mickey Jin, @patch1t)

App Store

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2023-42830: Адам М. (Adam M.)

Archive Utility

Доступно для: macOS Ventura

Вплив: архів може обійти перевірку Gatekeeper

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-27951: Брендон Далтон (Brandon Dalton, @partyD0lphin) із Red Canary, Чан Шу Лонг (Chan Shue Long) і Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security

Calendar

Доступно для: macOS Ventura

Вплив: імпорт зловмисно створеного запрошення до події календаря може призвести до витоку інформації користувача.

Опис: кілька проблем із перевіркою усунено завдяки поліпшеній обробці вводу.

CVE-2023-27961: Різа Сабунчу (Rıza Sabuncu, @rizasabuncu)

Camera

Доступно для: macOS Ventura

Вплив: програма в ізольованому середовищі може визначити, яка програма зараз використовує камеру.

Опис: проблему вирішено шляхом додаткових обмежень щодо спостережуваності станів програми.

CVE-2023-23543: Йігіт Кан Йилмаз (Yiğit Can YILMAZ, @yilmazcanyigit)

Carbon Core

Доступно для: macOS Ventura

Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-23534: Міккі Джин (Mickey Jin, @patch1t)

ColorSync

Доступно для: macOS Ventura

Вплив: програма може читати довільні файли.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-27955: користувач JeongOhKyea

CommCenter

Доступно для: macOS Ventura

Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2023-27936: Тінджинь Інь (Tingting Yin) з Університету Цінхуа

CoreServices

Доступно для: macOS Ventura

Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-40398: Mickey Jin (@patch1t)

CoreCapture

Доступно для: macOS Ventura

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-28181: Tingting Yin з Університету Цінхуа

Crash Reporter

Доступно для: macOS Ventura

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2023-32426: Джуно Лі (Junoh Lee) з Theori

curl

Доступно для: macOS Ventura

Вплив: виявлено кілька проблем у curl.

Вплив: численні проблеми вирішено через оновлення curl.

CVE-2022-43551

CVE-2022-43552

dcerpc

Доступно для: macOS Ventura

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми чи виконання довільного коду.

Опис: проблему з ініціалізацією пам’яті вирішено.

CVE-2023-27934: Александар Ніколіч (Aleksandar Nikolic) із Cisco Talos

dcerpc

Доступно для: macOS Ventura

Вплив: користувач із привілейованим положенням у мережі може спричинити відмову в обслуговуванні.

Опис: проблему з відмовою в обслуговуванні вирішено шляхом поліпшення обробки звернень до пам’яті.

CVE-2023-28180: Александар Ніколіч (Aleksandar Nikolic) із Cisco Talos

dcerpc

Доступно для: macOS Ventura

Вплив: віддалений користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2023-27935: Александар Ніколіч (Aleksandar Nikolic) із Cisco Talos

dcerpc

Доступно для: macOS Ventura

Вплив: віддалений користувач може спричиняти несподіване завершення роботи системи або пошкодження пам’яті ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-27953: Александар Ніколіч (Aleksandar Nikolic) із Cisco Talos

CVE-2023-27958: Александар Ніколіч (Aleksandar Nikolic) із Cisco Talos

DesktopServices

Доступно для: macOS Ventura

Вплив: програма може обходити перевірки Gatekeeper.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2023-40433: Мікко Кенттала (Mikko Kenttälä, @Turmio_) із SensorFu

FaceTime

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю вирішено шляхом переміщення конфіденційних даних у безпечніше розташування.

CVE-2023-28190: Джошуа Джонс (Joshua Jones)

Find My

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2023-23537: користувач Adam M.

CVE-2023-28195: користувач Adam M.

FontParser

Доступно для: macOS Ventura

Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-27956: Ye Zhang (@VAR10CK) із Baidu Security

FontParser

Доступно для: macOS Ventura

Вплив: обробка файлу шрифту може призводити до виконання довільного коду

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2023-32366: Ye Zhang (@VAR10CK) з Baidu Security

Foundation

Доступно для: macOS Ventura

Вплив: аналіз шкідливого файлу plist може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.

CVE-2023-27937: анонімний дослідник

iCloud

Доступно для: macOS Ventura

Вплив: файл із папки «Поширено мною» в iCloud може обходити перевірку Gatekeeper.

Опис: цю проблему вирішено шляхом додаткових перевірок Gatekeeper для файлів, завантажених із папки «Поширено мною» в iCloud.

CVE-2023-23526: Жубаєр Альназі (Jubaer Alnazi) з TRS Group Of Companies

Identity Services

Доступно для: macOS Ventura

Вплив: програма може отримати доступ до інформації про контакти користувача.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2023-27928: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security

ImageIO

Доступно для: macOS Ventura

Вплив: обробка зображення може призводити до розкриття пам’яті процесів.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2023-27939: користувач jzhu, що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

CVE-2023-27947: Мейсам Фірузі (Meysam Firouzi, @R00tkitSMM) з MBition Mercedes-Benz Innovation Lab

CVE-2023-27948: Мейсам Фірузі (Meysam Firouzi, @R00tkitSMM) з Mbition Mercedes-Benz Innovation Lab

CVE-2023-42862: Мейсам Фірузі (Meysam Firouzi, @R00tkitSMM) з Mbition Mercedes-Benz Innovation Lab

CVE-2023-42865: користувач jzhu, що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative, і Мейсам Фірузі (Meysam Firouzi, @R00tkitSMM) з Mbition Mercedes-Benz Innovation Lab

ImageIO

Доступно для: macOS Ventura

Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-23535: користувач ryuzaki

ImageIO

Доступно для: macOS Ventura

Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2023-27929: Мейсам Фірузі (Meysam Firouzi, @R00tkitSMM) із Mbition Mercedes-Benz Innovation Lab і користувач jzhu, який працює з Trend Micro Zero Day Initiative

ImageIO

Доступно для: macOS Ventura

Вплив: обробка шкідливого файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2023-27946: Міккі Джин (Mickey Jin, @patch1t)

ImageIO

Доступно для: macOS Ventura

Вплив: обробка шкідливого файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2023-27957: Йігіт Кан Йилмаз (Yiğit Can YILMAZ, @yilmazcanyigit)

IOAcceleratorFamily

Доступно для: macOS Ventura

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2023-32378: Murray Mike

Kernel

Доступно для: macOS Ventura

Вплив: користувач може спричинити відмову в обслуговуванні.

Опис: цю проблему вирішено шляхом вдосконалення керування станами.

CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) зі STAR Labs SG Pte. Ltd.

Kernel

Доступно для: macOS Ventura

Вплив: програма може розкривати дані з пам’яті ядра.

Опис: виникала проблема читання за межами виділеної області, що призводило до витоку пам’яті ядра. Цю проблему вирішено завдяки поліпшенню перевірки вводу.

CVE-2023-27941: Арсеній Костромін (Arsenii Kostromin, 0x3c3e)

CVE-2023-28199: Арсеній Костромін (Arsenii Kostromin, 0x3c3e)

Kernel

Доступно для: macOS Ventura

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2023-23536: користувачі Félix Poulin-Bélanger і David Pan Ogea

Kernel

Доступно для: macOS Ventura

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.

CVE-2023-23514: Сіньжу Чи (Xinru Chi) з Pangu Lab і Нед Вільямсон (Ned Williamson) із Google Project Zero

CVE-2023-27969: Адам Дупе (Adam Doupé) з ASU SEFCOM

Kernel

Доступно для: macOS Ventura

Вплив: програма з правами кореневого користувача може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-27933: користувач sqrtpwn

Kernel

Доступно для: macOS Ventura

Вплив: програма може розкривати дані з пам’яті ядра.

Опис: проблему з перевіркою усунено завдяки поліпшеній обробці вводу.

CVE-2023-28200: Арсеній Костромін (Arsenii Kostromin, 0x3c3e)

LaunchServices

Доступно для: macOS Ventura

Вплив: до файлів, завантажених з інтернету, може не застосовуватися прапорець карантину.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-27943: анонімний дослідник, Brandon Dalton (@partyD0lphin) із Red Canary, Milan Tenk і Arthur Valiev із F-Secure Corporation

LaunchServices

Доступно для: macOS Ventura

Вплив: програма може отримувати права кореневого користувача.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-23525: Міккі Джин (Mickey Jin, @patch1t)

libc

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.

CVE-2023-40383: Міккі Джин (Mickey Jin, @patch1t)

libpthread

Доступно для: macOS Ventura

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.

CVE-2023-41075: користувач Zweig із Kunlun Lab

Mail

Доступно для: macOS Ventura

Вплив: програма може переглядати конфіденційну інформацію.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-28189: Міккі Джин (Mickey Jin, @patch1t)

Messages

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом вирішено завдяки додатковим обмеженням ізольованого програмного середовища.

CVE-2023-28197: Джошуа Джонс (Joshua Jones)

Model I/O

Доступно для: macOS Ventura

Вплив: обробка зображення може призводити до розкриття пам’яті процесів.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2023-27950: Міккі Джин (Mickey Jin, @patch1t)

Model I/O

Доступно для: macOS Ventura

Вплив: обробка шкідливого файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2023-27949: Міккі Джин (Mickey Jin, @patch1t)

NetworkExtension

Доступно для: macOS Ventura

Вплив: користувач із привілейованим положенням у мережі може мати змогу імітувати на пристрої сервер VPN, який налаштовано на автентифікацію лише за допомогою EAP.

Опис: цю проблему усунено завдяки вдосконаленню автентифікації.

CVE-2023-28182: Чжовей Чжан (Zhuowei Zhang)

PackageKit

Доступно для: macOS Ventura

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2023-23538: Міккі Джин (Mickey Jin, @patch1t)

CVE-2023-27962: Міккі Джин (Mickey Jin, @patch1t)

Photos

Доступно для: macOS Ventura

Вплив: фотографії з альбому «Приховані» можна переглядати без автентифікації через Візуальний пошук.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2023-23523: користувач developStorm

Podcasts

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-27942: Міккі Джин (Mickey Jin, @patch1t)

Quick Look

Доступно для: macOS Ventura

Вплив: вебсайт може відстежувати конфіденційну інформацію про користувача.

Опис: процес обробки помилок було змінено, щоб не розкривати конфіденційну інформацію.

CVE-2023-32362: користувач Khiem Tran

Safari

Доступно для: macOS Ventura

Вплив: програма може обходити перевірки Gatekeeper.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.

CVE-2023-27952: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security

Sandbox

Доступно для: macOS Ventura

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2023-23533: Міккі Джин (Mickey Jin, @patch1t), Кох М. Накагава (Koh M. Nakagawa) з FFRI Security, Inc. і Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security

Sandbox

Доступно для: macOS Ventura

Вплив: програма може обходити параметри приватності.

Опис: проблему з логікою вирішено завдяки поліпшенню перевірки.

CVE-2023-28178: Йігіт Кан Йилмаз (Yiğit Can YILMAZ, @yilmazcanyigit)

SharedFileList

Доступно для: macOS Ventura

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-27966: Масахіро Кавада (Masahiro Kawada, @kawakatz) з GMO Cybersecurity by Ierae

Shortcuts

Доступно для: macOS Ventura

Вплив: швидка команда може мати змогу використовувати конфіденційні дані з певними діями, не питаючи дозвіл у користувача.

Опис: проблему усунуто завдяки додатковим перевіркам дозволів.

CVE-2023-27963: Жубаєр Альназі Жабін (Jubaer Alnazi Jabin) із TRS Group Of Companies, а також Венчао Лі (Wenchao Li) та Сяолонг Баі (Xiaolong Bai) з Alibaba Group

System Settings

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2023-23542: Adam M.

System Settings

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з дозволами вирішено завдяки вдосконаленню перевірки.

CVE-2023-28192: Гільєрме Рамбо (Guilherme Rambo) з Best Buddy Apps (rambo.codes)

TCC

Доступно для: macOS Ventura

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2023-27931: Mickey Jin (@patch1t)

TextKit

Доступно для: macOS Ventura

Вплив: віддалений користувач може спричинити відмову в обслуговуванні.

Опис: проблему відмови в обслуговуванні вирішено шляхом поліпшення перевірки вводу.

CVE-2023-28188: Ксінь Хуан (Xin Huang, @11iaxH)

Vim

Доступно для: macOS Ventura

Вплив: виявлено кілька проблем у Vim.

Опис: численні проблеми вирішено через оновлення Vim до версії 9.0.1191.

CVE-2023-0049

CVE-2023-0051

CVE-2023-0054

CVE-2023-0288

CVE-2023-0433

CVE-2023-0512

WebKit

Доступно для: macOS Ventura

Вплив: політика безпеки контенту для блокування доменів із замінними знаками може не спрацьовувати.

Опис: проблему з логікою вирішено завдяки поліпшенню перевірки.

CVE-2023-32370: Гертьян Франкен (Gertjan Franken) із групи imec-DistriNet, Католицький університет Левена.

WebKit

Доступно для: macOS Ventura

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2023-28198: користувач hazbinhotel, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

WebKit

Доступно для: macOS Ventura

Вплив: обробка вебконтенту може призводити до виконання довільного коду. Apple відомо про повідомлення, що ця проблема могла активно використовуватися проти версій iOS, випущених до iOS 15.7.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню керування станами.

CVE-2023-32435: Георгій Кучерін (Georgy Kucherin, @kucher1n), Леонід Безвершенко (Leonid Bezvershenko, @bzvr_), Борис Ларін (Boris Larin, @oct0xor) і Валентин Пашков (Valentin Pashkov) із Kaspersky

WebKit

Доступно для: macOS Ventura

Вплив: обробка шкідливого вебвмісту може призводити до обходу політики одного джерела (Same Origin Policy).

Опис: цю проблему вирішено шляхом вдосконалення керування станами.

CVE-2023-27932: анонімний дослідник

WebKit

Доступно для: macOS Ventura

Вплив: вебсайт може відстежувати конфіденційну інформацію про користувача.

Опис: проблему вирішено шляхом вилучення інформації щодо походження.

CVE-2023-27954: анонімний дослідник

WebKit

Доступно для: macOS Ventura

Вплив: обробка файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2014-1745: анонімний дослідник

WebKit PDF

Доступно для: macOS Ventura

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.

CVE-2023-32358: анонімний користувач, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

WebKit Web Inspector

Доступно для: macOS Ventura

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми чи виконання довільного коду.

Опис: цю проблему вирішено шляхом вдосконалення керування станами.

CVE-2023-28201: Дохьон Лі (Dohyun Lee, @l33d0hyun) і користувач crixer (@pwning_me) з SSD Labs

XPC

Доступно для: macOS Ventura

Вплив: програма може виходити за межі ізольованого середовища.

Опис: цю проблему усунено завдяки новій процедурі надання прав.

CVE-2023-27944: Міккі Джин (Mickey Jin, @patch1t)

Додаткова подяка

Activation Lock

Дякуємо за допомогу Крістіану Міна (Christian Mina).

AppleMobileFileIntegrity

Дякуємо за допомогу Войцеху Регулі (Wojciech Reguła, @_r3ggi) із SecuRing.

AppleScript

Дякуємо за допомогу користувачу Mickey Jin (@patch1t).

Calendar UI

Дякуємо за допомогу Рафі Андіці Галуху (Rafi Andhika Galuh, @rafipiun).

CFNetwork

Дякуємо за допомогу анонімному досліднику.

Control Center

Дякуємо за допомогу користувачу Adam M.

CoreServices

Дякуємо за допомогу користувачу Mickey Jin (@patch1t).

dcerpc

Дякуємо за допомогу Александару Ніколічу (Aleksandar Nikolic) із Cisco Talos.

FaceTime

Дякуємо за допомогу Саджану Каркі (Sajan Karki).

file_cmds

Дякуємо за допомогу Лукасу Зронеку (Lukas Zronek).

File Quarantine

Дякуємо за допомогу користувачу Koh M. Nakagawa з FFRI Security, Inc.

Git

Дякуємо за допомогу.

Heimdal

Дякуємо за допомогу Євгенію Легерову (Evgeny Legerov) з Intevydis.

ImageIO

Дякуємо за допомогу Мейсаму Фірузі (Meysam Firouzi, @R00tkitSMM).

Kernel

Дякуємо за допомогу Тіму Мішо (Tim Michaud, @TimGMichaud) з Moveworks.ai.

Mail

Дякуємо за допомогу Чен Чжану (Chen Zhang), Фабіану Ісінгу (Fabian Ising), Даміану Поддебняку (Damian Poddebniak), Тобіасу Капперту (Tobias Kappert) і Крістофу Саатйоханну (Christoph Saatjohann) із Мюнстерського університету прикладних наук, а також користувачу Sebast і Мерлін Хлоста (Merlin Chlosta) з CISPA Helmholtz Center for Information Security.

NSOpenPanel

Дякуємо за допомогу Александре Колуччі (Alexandre Colucci, @timacfr).

Password Manager

Дякуємо за допомогу Себастіану С. Андерсену (Sebastian S. Andersen), OCA Creations LLC.

quarantine

Дякуємо за допомогу користувачу Koh M. Nakagawa з FFRI Security, Inc.

Safari Downloads

Дякуємо за допомогу Ендрю Гонсалесу (Andrew Gonzalez).

WebKit

Дякуємо за допомогу анонімному досліднику.

WebKit Web Inspector

Дякую за допомогу Дохьону Лі (Dohyun Lee, @l33d0hyun) і користувачу crixer (@pwning_me) з SSD Labs.

Wi-Fi

Дякуємо за допомогу анонімному досліднику.