Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. на сторінці Оновлення системи безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
macOS Ventura 13.3
Випущено 27 березня 2023 р.
AMD
Доступно для: macOS Ventura
Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2023-32436: ABC Research s.r.o.
Запис додано 31 жовтня 2023 р.
AMD
Доступно для: macOS Ventura
Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.
Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.
CVE-2023-27968: ABC Research s.r.o.
CVE-2023-28209: ABC Research s.r.o.
CVE-2023-28210: ABC Research s.r.o.
CVE-2023-28211: ABC Research s.r.o.
CVE-2023-28212: ABC Research s.r.o.
CVE-2023-28213: ABC Research s.r.o.
CVE-2023-28214: ABC Research s.r.o.
CVE-2023-28215: ABC Research s.r.o.
CVE-2023-32356: ABC Research s.r.o.
Запис додано 5 вересня 2023 р.
Apple Neural Engine
Доступно для: macOS Ventura
Вплив: програма може виходити за межі ізольованого середовища.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
AppleMobileFileIntegrity
Доступно для: macOS Ventura
Вплив: користувач може отримати доступ до захищених частин файлової системи.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-23527: Міккі Джин (Mickey Jin, @patch1t)
AppleMobileFileIntegrity
Доступно для: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2023-27931: Міккі Джин (Mickey Jin, @patch1t)
AppleScript
Доступно для: macOS Ventura
Вплив: обробка шкідливого бінарного файлу AppleScript може призводити до несподіваного завершення роботи програми або розкриття пам’яті процесу.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-28179: Міккі Джин (Mickey Jin, @patch1t)
Запис додано 1 серпня 2023 р.
App Store
Доступно для: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-42830: анонімний дослідник
Запис додано 21 грудня 2023 р.
Archive Utility
Доступно для: macOS Ventura
Вплив: архів може обійти перевірку Gatekeeper
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-27951: Брендон Далтон (Brandon Dalton, @partyD0lphin) із Red Canary, Чан Шу Лонг (Chan Shue Long) і Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security
Запис оновлено 5 вересня 2023 р.
Calendar
Доступно для: macOS Ventura
Вплив: імпорт зловмисно створеного запрошення до події календаря може призвести до витоку інформації користувача.
Опис: кілька проблем із перевіркою усунено завдяки поліпшеній обробці вводу.
CVE-2023-27961: Різа Сабунчу (Rıza Sabuncu, @rizasabuncu)
Запис оновлено 5 вересня 2023 р.
Camera
Доступно для: macOS Ventura
Вплив: програма в ізольованому середовищі може визначити, яка програма зараз використовує камеру.
Опис: проблему вирішено шляхом додаткових обмежень щодо спостережуваності станів програми.
CVE-2023-23543: Йігіт Кан Йилмаз (Yiğit Can YILMAZ, @yilmazcanyigit)
Carbon Core
Доступно для: macOS Ventura
Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-23534: Міккі Джин (Mickey Jin, @patch1t)
ColorSync
Доступно для: macOS Ventura
Вплив: програма може читати довільні файли.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-27955: користувач JeongOhKyea
CommCenter
Доступно для: macOS Ventura
Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2023-27936: Тінджинь Інь (Tingting Yin) з Університету Цінхуа
CoreCapture
Доступно для: macOS Ventura
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-28181: Tingting Yin з Університету Цінхуа
Crash Reporter
Доступно для: macOS Ventura
Вплив: програма може отримувати права кореневого користувача.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2023-32426: Джуно Лі (Junoh Lee) з Theori
Запис додано 5 вересня 2023 р.
curl
Доступно для: macOS Ventura
Вплив: виявлено кілька проблем у curl.
Вплив: численні проблеми вирішено через оновлення curl.
CVE-2022-43551
CVE-2022-43552
dcerpc
Доступно для: macOS Ventura
Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми чи виконання довільного коду.
Опис: проблему з ініціалізацією пам’яті вирішено.
CVE-2023-27934: Александар Ніколіч (Aleksandar Nikolic) із Cisco Talos
Запис оновлено 8 червня 2023 р.
dcerpc
Доступно для: macOS Ventura
Вплив: користувач із привілейованим положенням у мережі може спричинити відмову в обслуговуванні.
Опис: проблему з відмовою в обслуговуванні вирішено шляхом поліпшення обробки звернень до пам’яті.
CVE-2023-28180: Александар Ніколіч (Aleksandar Nikolic) із Cisco Talos
dcerpc
Доступно для: macOS Ventura
Вплив: віддалений користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2023-27935: Александар Ніколіч (Aleksandar Nikolic) із Cisco Talos
dcerpc
Доступно для: macOS Ventura
Вплив: віддалений користувач може спричиняти несподіване завершення роботи системи або пошкодження пам’яті ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-27953: Александар Ніколіч (Aleksandar Nikolic) із Cisco Talos
CVE-2023-27958: Александар Ніколіч (Aleksandar Nikolic) із Cisco Talos
DesktopServices
Доступно для: macOS Ventura
Вплив: програма може обходити перевірки Gatekeeper.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2023-40433: Мікко Кенттала (Mikko Kenttälä, @Turmio_) із SensorFu
Запис додано 21 грудня 2023 р.
FaceTime
Доступно для: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з приватністю вирішено шляхом переміщення конфіденційних даних у безпечніше розташування.
CVE-2023-28190: Джошуа Джонс (Joshua Jones)
Find My
Доступно для: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-23537: користувач Adam M.
CVE-2023-28195: користувач Adam M.
Запис додано 5 вересня 2023 р., оновлено 21 грудня 2023 р.
FontParser
Доступно для: macOS Ventura
Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-27956: Ye Zhang (@VAR10CK) із Baidu Security
Запис оновлено 31 жовтня 2023 р.
FontParser
Доступно для: macOS Ventura
Вплив: обробка файлу шрифту може призводити до виконання довільного коду
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2023-32366: Ye Zhang (@VAR10CK) з Baidu Security
Запис додано 31 жовтня 2023 р.
Foundation
Доступно для: macOS Ventura
Вплив: аналіз шкідливого файлу plist може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.
CVE-2023-27937: анонімний дослідник
iCloud
Доступно для: macOS Ventura
Вплив: файл із папки «Поширено мною» в iCloud може обходити перевірку Gatekeeper.
Опис: цю проблему вирішено шляхом додаткових перевірок Gatekeeper для файлів, завантажених із папки «Поширено мною» в iCloud.
CVE-2023-23526: Жубаєр Альназі (Jubaer Alnazi) з TRS Group Of Companies
Identity Services
Доступно для: macOS Ventura
Вплив: програма може отримати доступ до інформації про контакти користувача.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-27928: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security
ImageIO
Доступно для: macOS Ventura
Вплив: обробка зображення може призводити до розкриття пам’яті процесів.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2023-27939: користувач jzhu, що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative
CVE-2023-27947: Мейсам Фірузі (Meysam Firouzi, @R00tkitSMM) з MBition Mercedes-Benz Innovation Lab
CVE-2023-27948: Мейсам Фірузі (Meysam Firouzi, @R00tkitSMM) з Mbition Mercedes-Benz Innovation Lab
CVE-2023-42862: Мейсам Фірузі (Meysam Firouzi, @R00tkitSMM) з Mbition Mercedes-Benz Innovation Lab
CVE-2023-42865: користувач jzhu, що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative, і Мейсам Фірузі (Meysam Firouzi, @R00tkitSMM) з Mbition Mercedes-Benz Innovation Lab
Запис додано 1 серпня 2023 р. та оновлено 21 грудня 2023 р.
ImageIO
Доступно для: macOS Ventura
Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-23535: користувач ryuzaki
ImageIO
Доступно для: macOS Ventura
Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2023-27929: Мейсам Фірузі (Meysam Firouzi, @R00tkitSMM) із Mbition Mercedes-Benz Innovation Lab і користувач jzhu, який працює з Trend Micro Zero Day Initiative
ImageIO
Доступно для: macOS Ventura
Вплив: обробка шкідливого файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2023-27946: Міккі Джин (Mickey Jin, @patch1t)
ImageIO
Доступно для: macOS Ventura
Вплив: обробка шкідливого файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.
CVE-2023-27957: Йігіт Кан Йилмаз (Yiğit Can YILMAZ, @yilmazcanyigit)
IOAcceleratorFamily
Доступно для: macOS Ventura
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2023-32378: Murray Mike
Запис додано 31 жовтня 2023 р.
Kernel
Доступно для: macOS Ventura
Вплив: користувач може спричинити відмову в обслуговуванні.
Опис: цю проблему вирішено шляхом вдосконалення керування станами.
CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) зі STAR Labs SG Pte. Ltd.
Запис додано 5 вересня 2023 р.
Kernel
Доступно для: macOS Ventura
Вплив: програма може розкривати дані з пам’яті ядра.
Опис: виникала проблема читання за межами виділеної області, що призводило до витоку пам’яті ядра. Цю проблему вирішено завдяки поліпшенню перевірки вводу.
CVE-2023-27941: Арсеній Костромін (Arsenii Kostromin, 0x3c3e)
CVE-2023-28199: Арсеній Костромін (Arsenii Kostromin, 0x3c3e)
Запис додано 1 серпня 2023 р., оновлено 31 жовтня 2023 р.
Kernel
Доступно для: macOS Ventura
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2023-23536: користувачі Félix Poulin-Bélanger і David Pan Ogea
Запис додано 1 травня 2023 р., оновлено 31 жовтня 2023 р.
Kernel
Доступно для: macOS Ventura
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.
CVE-2023-23514: Сіньжу Чи (Xinru Chi) з Pangu Lab і Нед Вільямсон (Ned Williamson) із Google Project Zero
CVE-2023-27969: Адам Дупе (Adam Doupé) з ASU SEFCOM
Kernel
Доступно для: macOS Ventura
Вплив: програма з правами кореневого користувача може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-27933: користувач sqrtpwn
Kernel
Доступно для: macOS Ventura
Вплив: програма може розкривати дані з пам’яті ядра.
Опис: проблему з перевіркою усунено завдяки поліпшеній обробці вводу.
CVE-2023-28200: Арсеній Костромін (Arsenii Kostromin, 0x3c3e)
LaunchServices
Доступно для: macOS Ventura
Вплив: до файлів, завантажених з інтернету, може не застосовуватися прапорець карантину.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-27943: анонімний дослідник, Brandon Dalton (@partyD0lphin) із Red Canary, Milan Tenk і Arthur Valiev із F-Secure Corporation
Запис оновлено 31 жовтня 2023 р.
LaunchServices
Доступно для: macOS Ventura
Вплив: програма може отримувати права кореневого користувача.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-23525: Міккі Джин (Mickey Jin, @patch1t)
libc
Доступно для: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.
CVE-2023-40383: Міккі Джин (Mickey Jin, @patch1t)
Запис додано 31 жовтня 2023 р.
libpthread
Доступно для: macOS Ventura
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.
CVE-2023-41075: користувач Zweig із Kunlun Lab
Запис додано 21 грудня 2023 р.
Доступно для: macOS Ventura
Вплив: програма може переглядати конфіденційну інформацію.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-28189: Міккі Джин (Mickey Jin, @patch1t)
Запис додано 1 травня 2023 р.
Messages
Доступно для: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом вирішено завдяки додатковим обмеженням ізольованого програмного середовища.
CVE-2023-28197: Джошуа Джонс (Joshua Jones)
Запис додано 31 жовтня 2023 р.
Model I/O
Доступно для: macOS Ventura
Вплив: обробка зображення може призводити до розкриття пам’яті процесів.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2023-27950: Міккі Джин (Mickey Jin, @patch1t)
Запис додано 5 вересня 2023 р.
Model I/O
Доступно для: macOS Ventura
Вплив: обробка шкідливого файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2023-27949: Міккі Джин (Mickey Jin, @patch1t)
NetworkExtension
Доступно для: macOS Ventura
Вплив: користувач із привілейованим положенням у мережі може мати змогу імітувати на пристрої сервер VPN, який налаштовано на автентифікацію лише за допомогою EAP.
Опис: цю проблему вирішено завдяки вдосконаленню аутентифікації.
CVE-2023-28182: Чжовей Чжан (Zhuowei Zhang)
PackageKit
Доступно для: macOS Ventura
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2023-23538: Міккі Джин (Mickey Jin, @patch1t)
CVE-2023-27962: Міккі Джин (Mickey Jin, @patch1t)
Photos
Доступно для: macOS Ventura
Вплив: фотографії з альбому «Приховані» можна переглядати без автентифікації через Візуальний пошук.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2023-23523: користувач developStorm
Podcasts
Доступно для: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-27942: Міккі Джин (Mickey Jin, @patch1t)
Quick Look
Доступно для: macOS Ventura
Вплив: вебсайт може відстежувати конфіденційну інформацію про користувача.
Опис: процес обробки помилок було змінено, щоб не розкривати конфіденційну інформацію.
CVE-2023-32362: користувач Khiem Tran
Запис додано 5 вересня 2023 р.
Safari
Доступно для: macOS Ventura
Вплив: програма може обходити перевірки Gatekeeper.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.
CVE-2023-27952: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security
Sandbox
Доступно для: macOS Ventura
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2023-23533: Міккі Джин (Mickey Jin, @patch1t), Кох М. Накагава (Koh M. Nakagawa) з FFRI Security, Inc. і Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security
Sandbox
Доступно для: macOS Ventura
Вплив: програма може обходити параметри приватності.
Опис: проблему з логікою вирішено завдяки поліпшенню перевірки.
CVE-2023-28178: Йігіт Кан Йилмаз (Yiğit Can YILMAZ, @yilmazcanyigit)
SharedFileList
Доступно для: macOS Ventura
Вплив: програма може виходити за межі ізольованого середовища.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-27966: Масахіро Кавада (Masahiro Kawada, @kawakatz) з GMO Cybersecurity by Ierae
Запис додано 1 травня 2023 р., оновлено 1 серпня 2023 р.
Shortcuts
Доступно для: macOS Ventura
Вплив: швидка команда може мати змогу використовувати конфіденційні дані з певними діями, не питаючи дозвіл у користувача.
Опис: проблему усунуто завдяки додатковим перевіркам дозволів.
CVE-2023-27963: Жубаєр Альназі Жабін (Jubaer Alnazi Jabin) із TRS Group Of Companies, а також Венчао Лі (Wenchao Li) та Сяолонг Баі (Xiaolong Bai) з Alibaba Group
System Settings
Доступно для: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-23542: Adam M.
Запис оновлено 5 вересня 2023 р.
System Settings
Доступно для: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему з дозволами вирішено завдяки вдосконаленню перевірки.
CVE-2023-28192: Гільєрме Рамбо (Guilherme Rambo) з Best Buddy Apps (rambo.codes)
TCC
Доступно для: macOS Ventura
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2023-27931: Міккі Джин (Mickey Jin, @patch1t)
TextKit
Доступно для: macOS Ventura
Вплив: віддалений користувач може спричинити відмову в обслуговуванні.
Опис: проблему відмови в обслуговуванні вирішено шляхом поліпшення перевірки вводу.
CVE-2023-28188: Ксінь Хуан (Xin Huang, @11iaxH)
Запис додано 5 вересня 2023 р.
Vim
Доступно для: macOS Ventura
Вплив: виявлено кілька проблем у Vim.
Опис: численні проблеми вирішено через оновлення Vim до версії 9.0.1191.
CVE-2023-0049
CVE-2023-0051
CVE-2023-0054
CVE-2023-0288
CVE-2023-0433
CVE-2023-0512
WebKit
Доступно для: macOS Ventura
Вплив: політика безпеки контенту для блокування доменів із замінними знаками може не спрацьовувати.
Опис: проблему з логікою вирішено завдяки поліпшенню перевірки.
WebKit Bugzilla: 250709
CVE-2023-32370: Гертьян Франкен (Gertjan Franken) із групи imec-DistriNet, Католицький університет Левена.
Запис додано 5 вересня 2023 р.
WebKit
Доступно для: macOS Ventura
Вплив: обробка вебконтенту може призводити до виконання довільного коду.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 250429
CVE-2023-28198: користувач hazbinhotel, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
Запис додано 1 серпня 2023 р.
WebKit
Доступно для: macOS Ventura
Вплив: обробка вебвмісту може призводити до виконання довільного коду. Apple відомо про повідомлення, що ця проблема могла активно використовуватися проти версій iOS, випущених до iOS 15.7.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 251890
CVE-2023-32435: Георгій Кучерін (Georgy Kucherin, @kucher1n), Леонід Безвершенко (Leonid Bezvershenko, @bzvr_), Борис Ларін (Boris Larin, @oct0xor) і Валентин Пашков (Valentin Pashkov) із Kaspersky
Запис додано 21 червня 2023 р., оновлено 1 серпня 2023 р.
WebKit
Доступно для: macOS Ventura
Вплив: обробка шкідливого вебвмісту може призводити до обходу політики одного джерела (Same Origin Policy).
Опис: цю проблему вирішено шляхом вдосконалення керування станами.
CVE-2023-27932: анонімний дослідник
WebKit
Доступно для: macOS Ventura
Вплив: вебсайт може відстежувати конфіденційну інформацію про користувача.
Опис: проблему вирішено шляхом вилучення інформації щодо походження.
CVE-2023-27954: анонімний дослідник
WebKit
Доступно для: macOS Ventura
Вплив: обробка файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 249434
CVE-2014-1745: анонімний дослідник
Запис додано 21 грудня 2023 р.
WebKit PDF
Доступно для: macOS Ventura
Вплив: обробка вебконтенту може призводити до виконання довільного коду.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 249169
CVE-2023-32358: анонімний користувач, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
Запис додано 1 серпня 2023 р.
WebKit Web Inspector
Доступно для: macOS Ventura
Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми чи виконання довільного коду.
Опис: цю проблему вирішено шляхом вдосконалення керування станами.
CVE-2023-28201: Дохьон Лі (Dohyun Lee, @l33d0hyun) і користувач crixer (@pwning_me) з SSD Labs
Запис додано 1 травня 2023 р.
XPC
Доступно для: macOS Ventura
Вплив: програма може виходити за межі ізольованого середовища.
Опис: цю проблему усунено завдяки новій процедурі надання прав.
CVE-2023-27944: Міккі Джин (Mickey Jin, @patch1t)
Додаткова подяка
Activation Lock
Дякуємо за допомогу Крістіану Міна (Christian Mina).
AppleMobileFileIntegrity
Дякуємо за допомогу Войцеху Регулі (Wojciech Reguła, @_r3ggi) із SecuRing.
Запис додано 21 грудня 2023 р.
AppleScript
Дякуємо за допомогу Міккі Джину (Mickey Jin, @patch1t).
Calendar UI
Дякуємо за допомогу Рафі Андіці Галуху (Rafi Andhika Galuh, @rafipiun).
Запис додано 1 серпня 2023 р.
CFNetwork
Дякуємо за допомогу анонімному досліднику.
Control Center
Дякуємо за допомогу користувачу Adam M.
Запис оновлено 21 грудня 2023 р.
CoreServices
Дякуємо за допомогу Міккі Джину (Mickey Jin, @patch1t).
dcerpc
Дякуємо за допомогу Александару Ніколічу (Aleksandar Nikolic) із Cisco Talos.
FaceTime
Дякуємо за допомогу Саджану Каркі (Sajan Karki).
file_cmds
Дякуємо за допомогу Лукасу Зронеку (Lukas Zronek).
File Quarantine
Дякуємо за допомогу користувачу Koh M. Nakagawa з FFRI Security, Inc.
Запис додано 1 травня 2023 р.
Git
Дякуємо за допомогу.
Heimdal
Дякуємо за допомогу Євгенію Легерову (Evgeny Legerov) з Intevydis.
ImageIO
Дякуємо за допомогу Мейсаму Фірузі (Meysam Firouzi, @R00tkitSMM).
Дякуємо за допомогу Чен Чжану (Chen Zhang), Фабіану Ісінгу (Fabian Ising), Даміану Поддебняку (Damian Poddebniak), Тобіасу Капперту (Tobias Kappert) і Крістофу Саатйоханну (Christoph Saatjohann) із Мюнстерського університету прикладних наук, а також користувачу Sebast і Мерлін Хлоста (Merlin Chlosta) з CISPA Helmholtz Center for Information Security.
NSOpenPanel
Дякуємо за допомогу Александре Колуччі (Alexandre Colucci, @timacfr).
Password Manager
Дякуємо за допомогу Себастіану С. Андерсену (Sebastian S. Andersen), OCA Creations LLC.
Запис додано 1 травня 2023 р.
quarantine
Дякуємо за допомогу користувачу Koh M. Nakagawa з FFRI Security, Inc.
Safari Downloads
Дякуємо за допомогу Ендрю Гонсалесу (Andrew Gonzalez).
WebKit
Дякуємо за допомогу анонімному досліднику.
WebKit Web Inspector
Дякую за допомогу Дохьону Лі (Dohyun Lee, @l33d0hyun) і користувачу crixer (@pwning_me) з SSD Labs.
Wi-Fi
Дякуємо за допомогу анонімному досліднику.