Відомості про проблеми системи безпеки, які усунено в оновленні macOS Sonoma 14

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Sonoma 14.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Sonoma 14

Airport

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з доступом вирішено завдяки вдосконаленню редагування конфіденційної інформації.

CVE-2023-40384: користувач Adam M.

AMD

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2023-32377: ABC Research s.r.o.

AMD

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-38615: ABC Research s.r.o.

App Store

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: зловмисник може віддалено виходити за межі ізольованого середовища для вебконтенту.

Опис: цю проблему вирішено завдяки вдосконаленню обробки протоколів.

CVE-2023-40448: користувач w0wbox

Apple Neural Engine

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може розкривати дані з пам’яті ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може розкривати дані з пам’яті ядра.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2023-40410: Tim Michaud (@TimGMichaud) з Moveworks.ai

AppleMobileFileIntegrity

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему усунуто завдяки додатковим перевіркам дозволів.

CVE-2023-42872: Mickey Jin (@patch1t)

AppSandbox

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-42929: Mickey Jin (@patch1t)

AppSandbox

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може мати доступ до вкладень у Нотатках.

Опис: проблему усунено шляхом покращення обмеження доступу до контейнера даних.

CVE-2023-42925: Wojciech Reguła (@_r3ggi) і Kirin (@Pwnrin)

Ask to Buy

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-38612: Chris Ross (Zoom)

AuthKit

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.

CVE-2023-32361: Csaba Fitzl (@theevilbit) з Offensive Security

Bluetooth

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: зловмисник, який перебуває поруч із користувачем, може спричинити обмежений запис за межі пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-35984: користувач zer0k

Bluetooth

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може обходити певні параметри приватності.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: обробка файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

bootp

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2023-41065: користувач Adam M., Noah Roskin-Frazee та професор Jason Lau із ZeroClicks.ai Lab

Calendar

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до даних календаря, збережених у тимчасовому каталозі.

Опис: проблему з приватністю усунено завдяки вдосконаленню обробки тимчасових файлів.

CVE-2023-29497: Kirin (@Pwnrin) і Yishu Wang

CFNetwork

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програмі може не вдатися застосувати функцію App Transport Security.

Опис: цю проблему вирішено завдяки вдосконаленню обробки протоколів.

CVE-2023-38596: Will Brattain із Trail of Bits

Годинник

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2023-42943: Cristian Dinca з Національної вищої школи комп’ютерних наук імені Тудора Віану, Румунія

ColorSync

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може читати довільні файли.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-40406: JeongOhKyea із Theori

CoreAnimation

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-40420: 이준성 (Junsung Lee) з Cross Republic

Core Data

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може обходити параметри приватності.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2023-40528: користувач Kirin (@Pwnrin) з NorthSea

Core Image

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до відредагованих фотографій, збережених у тимчасовому каталозі.

Опис: проблему усунено завдяки вдосконаленню обробки тимчасових файлів.

CVE-2023-40438: Wojciech Regula із SecuRing (wojciechregula.blog)

CoreMedia

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: розширення камери мало доступ до огляду камери з інших програм, окрім тієї програми, для якої було надано дозвіл.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок

CVE-2023-41994: Halle Winkler, Politepix @hallewinkler

CUPS

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: зловмисник може віддалено спричинити відмову в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2023-40407: Sei K.

Dev Tools

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати вищий рівень привілеїв.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

FileProvider

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може обходити параметри приватності.

Опис: проблему з доступом вирішено за допомогою додаткових обмежень.

CVE-2023-41980: Noah Roskin-Frazee й професор Jason Lau (ZeroClicks.ai Lab)

FileProvider

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.

CVE-2023-40411: Noah Roskin-Frazee та Prof. J. (ZeroClicks.ai Lab), а також Csaba Fitzl (@theevilbit) з Offensive Security

Game Center

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може мати доступ до контактів.

Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.

CVE-2023-40395: Csaba Fitzl (@theevilbit) з Offensive Security

GPU Drivers

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може розкривати дані з пам’яті ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-40391: Antonio Zekic (@antoniozekic) з Dataflow Security

GPU Drivers

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему виснаження ресурсів вирішено завдяки поліпшенню перевірки вводу.

CVE-2023-40441: Ron Masas з Imperva

Graphics Drivers

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.

CVE-2023-42959: Murray Mike

iCloud

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом усунено завдяки вдосконаленню редагування конфіденційної інформації.

CVE-2023-23495: Csaba Fitzl (@theevilbit) з Offensive Security

iCloud Photo Library

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримати доступ до фототеки користувача.

Опис: проблему з конфігурацією усунено за допомогою додаткових обмежень.

CVE-2023-40434: Mikko Kenttälä (@Turmio_) із SensorFu

Image Capture

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.

Опис: проблему з доступом усунено завдяки додатковим обмеженням ізольованого програмного середовища.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: зловмисник може спричиняти несподіване завершення роботи системи або зчитувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2023-40436: Murray Mike

IOUserEthernet

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-40396: команда Certik Skyfall

Kernel

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2023-41995: Certik Skyfall Team і pattern-f (@pattern_F_) з Ant Security Light-Year Lab

CVE-2023-42870: користувач Zweig із Kunlun Lab

Kernel

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: зловмисник, який уже дійшов до виконання коду в ядрі, може обходити засоби захисту пам’яті ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-41981: Linus Henze з Pinauten GmbH (pinauten.de)

Kernel

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) зі STAR Labs SG Pte. Ltd.

Kernel

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з дозволами вирішено завдяки вдосконаленню перевірки.

CVE-2023-40429: Michael (Biscuit) Thomas і 张师傅 (@京东蓝军)

Kernel

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: віддалений користувач може спричинити виконання коду в ядрі.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) із MIT CSAIL

LaunchServices

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може обходити перевірки Gatekeeper.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo) з Jamf Software й анонімний дослідник

libpcap

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: віддалений користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-40400: користувач Sei K.

libxpc

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може видаляти файли, щодо яких у неї немає дозволу.

Опис: проблему з доступом вирішено за допомогою додаткових обмежень.

CVE-2023-40454: Zhipeng Huo (@R3dF09) з Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.

CVE-2023-41073: Zhipeng Huo (@R3dF09) з Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: обробка вебконтенту може призвести до розкриття конфіденційної інформації.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) з PK Security

Maps

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.

CVE-2023-40427: Adam M. і Wojciech Regula із SecuRing (wojciechregula.blog)

Maps

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2023-42957: Adam M. і Ron Masas із BreakPoint Security Research

Messages

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: за допомогою програми можна переглядати незахищені дані користувачів.

Опис: проблему з приватністю усунено завдяки вдосконаленню обробки тимчасових файлів.

CVE-2023-32421: Meng Zhang (鲸落) з NorthSea, Ron Masas із BreakPoint Security Research, Brian McNulty й Kishan Bagaria з Texts.com

Model I/O

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: обробка файлу може спричинити виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-42826: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

Model I/O

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2023-42918: Міккі Джин (Mickey Jin, @patch1t)

Music

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2023-40455: Zhipeng Huo (@R3dF09) з Tencent Security Xuanwu Lab (xlab.tencent.com)

Notes

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може мати доступ до вкладень у Нотатках.

Опис: проблему з приватністю усунено завдяки вдосконаленню обробки тимчасових файлів.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: виявлено вразливість у дистанційній переадресації OpenSSH.

Опис: цю проблему усунено завдяки оновленню OpenSSH до версії 9.3p2.

CVE-2023-38408: користувач baba yaga, анонімний дослідник

Passkeys

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: зловмисник може отримати доступ до ключів допуску без автентифікації.

Опис: проблему усунуто завдяки додатковим перевіркам дозволів.

CVE-2023-40401: користувач weize she та анонімний дослідник

Photos

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: фотографії в альбомі «Приховані» можуть переглядатися без автентифікації.

Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.

CVE-2023-40393: анонімний дослідник, Berke Kırbaş і Harsh Jaiswal

Photos

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до відредагованих фотографій, збережених у тимчасовому каталозі.

Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.

CVE-2023-42949: Kirin (@Pwnrin)

Photos Storage

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма з привілеями кореневого користувача може отримувати доступ до приватної інформації.

Опис: проблему витоку інформації вирішено шляхом видалення вразливого коду.

CVE-2023-42934: Wojciech Regula із SecuRing (wojciechregula.blog)

Power Management

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: користувач може переглядати обмежений вміст із замкненого екрана.

Опис: проблему із заблокованим екраном усунено завдяки поліпшенню керування станами.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi з Університету Джорджа Мейсона й Billy Tabrizi

Printing

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може змінювати параметри принтера.

Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Printing

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-41987: користувач Kirin (@Pwnrin) і Wojciech Regula із SecuRing (wojciechregula.blog)

Pro Res

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-40422: Tomi Tokics (@tomitokics) з iTomsn0w

Safari

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: обробка вебконтенту може призвести до розкриття конфіденційної інформації.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма Safari могла зберігати фото в незахищеному розташуванні.

Опис: проблему з приватністю усунено завдяки вдосконаленню обробки тимчасових файлів.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може визначати, яке інше ПЗ інсталював користувач.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-35990: Adriatik Raci із Sentry Cybersecurity

Safari

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: відвідування вебсайту, який містить шкідливий контент, може призвести до підміни інтерфейсу користувача.

Опис: проблему з керуванням вікнами усунено завдяки поліпшенню керування станами.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) із Suma Soft Pvt. Ltd., м. Пуне (Індія)

Sandbox

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може перезаписувати довільні файли.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до знімних томів без дозволу користувача.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програми, які не проходять перевірки підтвердження, досі можна запустити.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-41996: Mickey Jin (@patch1t) і Yiğit Can YILMAZ (@yilmazcanyigit)

Screen Sharing

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може обходити певні параметри приватності.

Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.

CVE-2023-41078: Zhipeng Huo (@R3dF09) з Tencent Security Xuanwu Lab (xlab.tencent.com)

Share Sheet

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до зафіксованих конфіденційних даних, коли користувач ділиться посиланням.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: швидка команда могла видавати конфіденційні дані користувача без його згоди.

Опис: проблему усунено завдяки додаванню додаткового запиту згоди користувача.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) і James Duffy (mangoSecure)

Shortcuts

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може обходити параметри приватності.

Опис: проблему усунено завдяки поліпшенню логіки дозволів.

CVE-2023-41079: Ron Masas з BreakPoint.sh і анонімний дослідник

Spotlight

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

StorageKit

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може читати довільні файли.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2023-41968: Mickey Jin (@patch1t) і James Hutchins

System Preferences

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може обходити перевірки Gatekeeper.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-40450: Thijs Alkemade (@xnyhps) з Computest Sector 7

System Settings

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: пароль Wi-Fi може не видалятися під час активації Mac у Відновленні macOS.

Опис: цю проблему вирішено шляхом вдосконалення керування станами.

CVE-2023-42948: Andrew Haggard

TCC

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) і Csaba Fitzl (@theevilbit) з Offensive Security

WebKit

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2023-39434: Francisco Alonso (@revskills) і Dohyun Lee (@l33d0hyun) із PK Security

CVE-2023-40414: Francisco Alonso (@revskills)

WebKit

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-41074: 이준성 (Junsung Lee) із Cross Republic і Jie Ding(@Lime) з HKUS3 Lab

WebKit

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-35074: Dong Jun Kim (@smlijun) і Jong Seong Kim (@nevul37) з Ajou University Abysslab

WebKit

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: обробка вебвмісту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема могла активно використовуватися у версіях iOS, випущених до iOS 16.7.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-41993: Bill Marczak із Citizen Lab при Школі імені Манка Університету Торонто й Maddie Stone із групи аналізу загроз Google

WebKit

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: функція VoiceOver може зачитувати вголос пароль користувача.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2023-32359: Claire Houston

WebKit

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: зловмисник міг дистанційно переглядати запити DNS, отримані в результаті витоку, з увімкненою функцією «Приват-реле».

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2023-40385: анонімний дослідник

WebKit

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему з правильністю вирішено завдяки вдосконаленню перевірок.

CVE-2023-42833: Dong Jun Kim (@smlijun) і Jong Seong Kim (@nevul37) з AbyssLab

Wi-Fi

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: проблему з пошкодженням даних у пам’яті усунено завдяки видаленню вразливого коду.

CVE-2023-38610: Wang Yu із Cyberserval

Windows Server

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може несподівано викликати витік облікових даних користувача із захищених текстових полів.

Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.

CVE-2023-41066: анонімний дослідник, Jeremy Legendre з MacEnhance та Felix Kratz

XProtectFramework

Цільові продукти: Mac Studio (2022 р. і новіші моделі), iMac (2019 р. і новіші моделі), Mac Pro (2019 р. і новіші моделі), Mac mini (2018 р. і новіші моделі), MacBook Air (2018 р. і новіші моделі), MacBook Pro (2018 р. і новіші моделі) та iMac Pro (2017 р.)

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Додаткова подяка

Airport

Дякуємо за допомогу Adam M., Noah Roskin-Frazee й професору Jason Lau (ZeroClicks.ai Lab).

AppKit

Дякуємо за допомогу анонімному досліднику.

Apple Neural Engine

Дякуємо за допомогу pattern-f (@pattern_F_) з Ant Security Light-Year Lab.

AppSandbox

Дякуємо за допомогу користувачу Kirin (@Pwnrin).

Archive Utility

Дякуємо за допомогу Mickey Jin (@patch1t).

Audio

Дякуємо за допомогу користувачу Mickey Jin (@patch1t).

Bluetooth

Дякуємо за допомогу Jianjun Dai і Guang Gong із 360 Vulnerability Research Institute.

Books

Дякуємо за допомогу Aapo Oksman із Nixu Cybersecurity.

Control Center

Дякуємо за допомогу Yiğit Can YILMAZ (@yilmazcanyigit).

Core Location

Дякуємо за допомогу Wouter Hennen.

CoreMedia Playback

Дякуємо за допомогу користувачу Mickey Jin (@patch1t).

CoreServices

Дякуємо за допомогу Thijs Alkemade з Computest Sector 7, Wojciech Reguła (@_r3ggi) із SecuRing і анонімному досліднику.

Data Detectors UI

Дякуємо за допомогу Abhay Kailasia (@abhay_kailasia) з Технологічного коледжу Лакшмі Нараян у Бхопалі.

Find My

Дякуємо за допомогу Cher Scarlett.

Home

Дякуємо за допомогу Jake Derouin (jakederouin.com).

IOGraphics

Дякуємо за допомогу анонімному досліднику.

IOUserEthernet

Дякуємо за допомогу Certik Skyfall Team.

Kernel

Дякуємо за допомогу Bill Marczak із Citizen Lab при Школі Мунка Торонтського університету, Maddie Stone із Google Threat Analysis Group, Xinru Chi з Pangu Lab, 永超 王.

libxml2

Дякуємо за допомогу компанії OSS-Fuzz і користувачу Ned Williamson із підрозділу Google Project Zero.

libxpc

Дякуємо за допомогу анонімному досліднику.

libxslt

Дякуємо за допомогу Dohyun Lee (@l33d0hyun) з PK Security, OSS-Fuzz, Ned Williamson із Google Project Zero.

Mail

Дякуємо за допомогу Taavi Eomäe із Zone Media OÜ.

Menus

Дякуємо за допомогу Matthew Denton із Google Chrome Security.

NSURL

Дякуємо за допомогу Zhanpeng Zhao (行之), 糖豆爸爸(@晴天组织).

PackageKit

Дякуємо за допомогу Csaba Fitzl (@theevilbit) з Offensive Security й анонімному досліднику.

Photos

Дякуємо за допомогу Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius і Paul Lurin.

Power Services

Дякуємо за допомогу Mickey Jin (@patch1t).

Reminders

Дякуємо за допомогу Paweł Szafirowski.

Safari

Дякуємо за допомогу Kang Ali з Punggawa Cyber Security.

Sandbox

Дякуємо за допомогу Yiğit Can YILMAZ (@yilmazcanyigit).

SharedFileList

Дякуємо за допомогу Christopher Lopez (@L0Psec) і користувачу Kandji, Leo Pitt із Zoom Video Communications, Masahiro Kawada (@kawakatz) із GMO Cybersecurity by Ierae, а також Ross Bingham (@PwnDexter).

Shortcuts

Дякуємо за допомогу користувачам Alfie CG, Christian Basting із Федерального управління з інформаційної безпеки Німеччини, Cristian Dinca з Національної вищої школи комп’ютерних наук імені Тудора Віану (Румунія), Giorgos Christodoulidis, Jubaer Alnazi з TRS Group Of Companies, Krishan Kant Dwivedi (@xenonx7) і Matthew Butler.

Software Update

Дякуємо за допомогу користувачу Omar Siman.

Spotlight

Дякуємо за допомогу Abhay Kailasia (@abhay_kailasia) з Технологічного коледжу Лакшмі Нараян у Бхопалі й Dawid Pałuska.

StorageKit

Дякуємо за допомогу користувачу Mickey Jin (@patch1t).

Video Apps

Дякуємо за допомогу користувачу James Duffy (mangoSecure).

WebKit

Дякуємо за допомогу Khiem Tran і Narendra Bhati із Suma Soft Pvt. Ltd, Пуне (Індія) і анонімному досліднику.

WebRTC

Дякуємо за допомогу анонімному досліднику.

Wi-Fi

Дякуємо за допомогу Adam M. та Wang Yu з Cyberserval.