Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
macOS Sonoma 14.1
Дата випуску: 25 жовтня 2023 року
App Support
Цільовий продукт: macOS Sonoma
Вплив: аналіз файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2023-30774
AppSandbox
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2023-40444: Noah Roskin-Frazee та користувач Prof. J. (ZeroClicks.ai Lab)
Automation
Цільовий продукт: macOS Sonoma
Вплив: програма з привілеями кореневого користувача може отримувати доступ до приватної інформації.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-42952: Zhipeng Huo (@R3dF09) з Tencent Security Xuanwu Lab (xlab.tencent.com)
Запис додано 16 лютого 2024 року
Bluetooth
Цільовий продукт: macOS Sonoma
Вплив: програма може отримати несанкціонований доступ до Bluetooth.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2023-42945
Запис додано 16 лютого 2024 року
Contacts
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-41072: Wojciech Regula із SecuRing (wojciechregula.blog) і Csaba Fitzl (@theevilbit) з Offensive Security
CVE-2023-42857: Noah Roskin-Frazee та користувач Prof. J. (ZeroClicks.ai Lab)
CoreAnimation
Цільовий продукт: macOS Sonoma
Вплив: програма може спричинити відмову в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-40449: Tomi Tokics (@tomitokics) з iTomsn0w
Core Recents
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки контрольній обробці журналів.
CVE-2023-42823
Запис додано 16 лютого 2024 року
Emoji
Цільовий продукт: macOS Sonoma
Вплив: зловмисник може виконувати довільний код як користувач root із замкненого екрана.
Опис: проблему усунено за допомогою обмеження варіантів, пропонованих на замкненому пристрої.
CVE-2023-41989: Jewel Lambert
FileProvider
Цільовий продукт: macOS Sonoma
Вплив: шкідлива програма може спричинити відмову в обслуговуванні клієнтів Endpoint Security.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2023-42854: Noah Roskin-Frazee та користувач Prof. J. (ZeroClicks.ai Lab)
Find My
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.
CVE-2023-40413: Adam M.
Find My
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з приватністю вирішено завдяки вдосконаленню обробки файлів.
CVE-2023-42834: Csaba Fitzl (@theevilbit) з Offensive Security
Запис додано 16 лютого 2024 року
Foundation
Цільовий продукт: macOS Sonoma
Вплив: вебсайт може отримувати доступ до конфіденційних даних користувача під час розв’язання символьних посилань.
Опис: проблему усунено завдяки поліпшенню обробки символьних посилань.
CVE-2023-42844: Ron Masas із BreakPoint.SH
Game Center
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2023-42953: Michael (Biscuit) Thomas (@biscuit@social.lol)
Запис додано 16 лютого 2024 року
ImageIO
Цільовий продукт: macOS Sonoma
Вплив: обробка зображення може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-40416: користувач JZ
ImageIO
Цільовий продукт: macOS Sonoma
Вплив: обробка шкідливого зображення може призводити до пошкодження динамічної пам’яті.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2023-42848: користувач JZ
Запис додано 16 лютого 2024 року
IOTextEncryptionFamily
Цільовий продукт: macOS Sonoma
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-40423: анонімний дослідник
iperf3
Цільовий продукт: macOS Sonoma
Вплив: віддалений користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-38403
Kernel
Цільовий продукт: macOS Sonoma
Вплив: зловмисник, який уже дійшов до виконання коду в ядрі, може обходити засоби захисту пам’яті ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-42849: Linus Henze із Pinauten GmbH (pinauten.de)
LaunchServices
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему усунено завдяки поліпшенню логіки дозволів.
CVE-2023-42850: Thijs Alkemade (@xnyhps) з Computest Sector 7, Brian McNulty, Zhongquan Li
libc
Цільовий продукт: macOS Sonoma
Вплив: обробка шкідливих вхідних даних може призвести до виконання довільного коду в програмах, інстальованих користувачем.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-40446: користувач inooo
Запис додано 3 листопада 2023 р.
libxpc
Цільовий продукт: macOS Sonoma
Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.
Опис: проблему усунено завдяки поліпшенню обробки символьних посилань.
CVE-2023-42942: Mickey Jin (@patch1t)
Запис додано 16 лютого 2024 року
Login Window
Цільовий продукт: macOS Sonoma
Вплив: зловмисник, що знає облікові дані стандартного користувача, може розблокувати екран іншого стандартного користувача на тому самому комп’ютері Mac.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser та CPU IT включно з Matthew McLean, Steven Maser й ІТ-командою Concentrix
Запис оновлено 27 жовтня 2023 року
LoginWindow
Цільовий продукт: macOS Sonoma
Вплив: локальний зловмисник може переглядати робочий стіл попереднього користувача, який увійшов у систему, на екрані швидкого перемикання користувачів.
Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.
CVE-2023-42935: ASentientBot
Запис додано 22 січня 2024 р. й оновлено 24 квітня 2024 р.
Mail Drafts
Цільовий продукт: macOS Sonoma
Вплив: функція «Сховати мою е‑адресу» може несподівано деактивуватися.
Опис: проблему з узгодженістю стану інтерфейсу користувача вирішено шляхом поліпшення керування станами.
CVE-2023-40408: Grzegorz Riegel
Maps
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-40405: Csaba Fitzl (@theevilbit) з Offensive Security
MediaRemote
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.
CVE-2023-28826: Meng Zhang (鲸落) з NorthSea
Запис додано 7 березня 2024 р.
Model I/O
Цільовий продукт: macOS Sonoma
Вплив: обробка файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-42856: Michael DePlante (@izobashi) з компанії Trend Micro в межах ініціативи Zero Day Initiative
Networking
Цільовий продукт: macOS Sonoma
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
CVE-2023-40404: команда Certik Skyfall
PackageKit
Цільовий продукт: macOS Sonoma
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) і компанія Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Запис додано 16 лютого 2024 року
PackageKit
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-42840: Mickey Jin (@patch1t) і Csaba Fitzl (@theevilbit) з Offensive Security
Запис додано 16 лютого 2024 року
PackageKit
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2023-42853: Mickey Jin (@patch1t)
Запис додано 16 лютого 2024 року
PackageKit
Цільовий продукт: macOS Sonoma
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) з FFRI Security, Inc.
Запис додано 16 лютого 2024 року
PackageKit
Цільовий продукт: macOS Sonoma
Вплив: програма може обходити певні параметри приватності.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-42889: Mickey Jin (@patch1t)
Запис додано 16 лютого 2024 року
Passkeys
Цільовий продукт: macOS Sonoma
Вплив: зловмисник може отримувати доступ до ключів допуску без автентифікації.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2023-42847: анонімний дослідник
Photos
Цільовий продукт: macOS Sonoma
Вплив: фотографії в альбомі «Приховані» можуть переглядатися без автентифікації.
Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.
CVE-2023-42845: Bistrit Dahal
Запис оновлено 16 лютого 2024 р.
Pro Res
Цільовий продукт: macOS Sonoma
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), користувач happybabywu та Guang Gong із 360 Vulnerability Research Institute
Pro Res
Цільовий продукт: macOS Sonoma
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), користувач happybabywu та Guang Gong із 360 Vulnerability Research Institute
Запис додано 16 лютого 2024 року
quarantine
Цільовий продукт: macOS Sonoma
Вплив: програма може виконувати довільний код за межами свого ізольованого середовища або з підвищеним рівнем привілеїв.
Опис: проблему з доступом вирішено завдяки вдосконаленню ізольованого середовища.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), Csaba Fitzl (@theevilbit) з Offensive Security
Запис додано 16 лютого 2024 року
RemoteViewServices
Цільовий продукт: macOS Sonoma
Вплив: зловмисник може отримувати доступ до даних користувача.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2023-42835: Mickey Jin (@patch1t)
Запис додано 16 лютого 2024 року
Safari
Цільовий продукт: macOS Sonoma
Вплив: відвідування шкідливого вебсайту може призводити до розкриття історії перегляду.
Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.
CVE-2023-41977: Alex Renda
Safari
Цільовий продукт: macOS Sonoma
Вплив: відвідування шкідливих вебсайтів може призводити до підміни інтерфейсу користувача.
Опис: проблему з узгодженістю стану інтерфейсу користувача вирішено шляхом поліпшення керування станами.
CVE-2023-42438: Rafay Baloch, Muhammad Samaak і анонімний дослідник
Sandbox
Цільовий продукт: macOS Sonoma
Вплив: зловмисник може отримати доступ до підключених мережевих томів, установлених у кореневому каталозі.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Запис додано 16 лютого 2024 року
Sandbox
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: цю проблему вирішено шляхом вдосконалення керування станами.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Запис додано 16 лютого 2024 року
Share Sheet
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-42878: користувач Kirin (@Pwnrin), Wojciech Regula із SecuRing (wojciechregula.blog) і Cristian Dinca з Національної вищої школи комп’ютерних наук імені Тудора Віану (Румунія)
Запис додано 16 лютого 2024 року
Siri
Цільовий продукт: macOS Sonoma
Вплив: зловмисник із фізичним доступом може отримати доступ до конфіденційних даних користувача за допомогою Siri.
Опис: проблему вирішено завдяки обмеженню варіантів, що пропонуються на замкненому пристрої.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Запис оновлено 16 лютого 2024 р.
Siri
Цільовий продукт: macOS Sonoma
Вплив: програма може спричинити витік конфіденційної інформації користувача.
Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.
CVE-2023-42946
Запис додано 16 лютого 2024 року
SQLite
Цільовий продукт: macOS Sonoma
Вплив: віддалений користувач може спричинити відмову в обслуговуванні.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-36191
Запис додано 16 лютого 2024 року
talagent
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2023-40421: Noah Roskin-Frazee та користувач Prof. J. (ZeroClicks.ai Lab)
Terminal
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-42842: анонімний дослідник
Vim
Цільовий продукт: macOS Sonoma
Вплив: обробка шкідливих введених даних може призводити до виконання коду.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
CVE-2023-4733
CVE-2023-4734
CVE-2023-4735
CVE-2023-4736
CVE-2023-4738
CVE-2023-4750
CVE-2023-4751
CVE-2023-4752
CVE-2023-4781
Weather
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-41254: Cristian Dinca з Національної вищої школи комп’ютерних наук імені Тудора Віану, Румунія
WebKit
Цільовий продукт: macOS Sonoma
Вплив: обробка вебконтенту може призводити до виконання довільного коду.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee) з Cross Republic
WebKit
Цільовий продукт: macOS Sonoma
Вплив: обробка вебконтенту може призводити до виконання довільного коду.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Цільовий продукт: macOS Sonoma
Вплив: обробка вебконтенту може призводити до виконання довільного коду.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) і Vitor Pedreira (@0xvhp_) з Agile Information Security
Запис оновлено 16 лютого 2024 р.
WebKit
Цільовий продукт: macOS Sonoma
Вплив: відвідування шкідливих вебсайтів може призводити до підміни адресного рядка.
Опис: проблему з узгодженістю стану інтерфейсу користувача вирішено шляхом поліпшення керування станами.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Запис додано 16 лютого 2024 року
WebKit Process Model
Цільовий продукт: macOS Sonoma
Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성 (Junsung Lee)
WindowServer
Цільовий продукт: macOS Sonoma
Вплив: певний вебсайт може отримувати доступ до мікрофона без відображення індикатора використання мікрофона.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2023-41975: анонімний дослідник
WindowServer
Цільовий продукт: macOS Sonoma
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-42858: анонімний дослідник
Запис додано 16 лютого 2024 року
Додаткова подяка
libarchive
Дякуємо за допомогу користувачу Bahaa Naamneh.
libxml2
Дякуємо за допомогу компанії OSS-Fuzz і користувачу Ned Williamson із підрозділу Google Project Zero.
Login Window
Дякуємо за допомогу анонімному досліднику.
man
Дякуємо за допомогу користувачам Kirin (@Pwnrin) і Roman Mishchenko.
Запис оновлено 16 лютого 2024 р.
Power Manager
Дякуємо за допомогу користувачу Xia0o0o0o (@Nyaaaaa_ovo) з Університету Каліфорнії в Сан-Дієго.
Preview
Дякуємо за допомогу користувачу Akshay Nagpal.
Запис додано 16 лютого 2024 року
Reminders
Дякуємо за допомогу користувачам Noah Roskin-Frazee та Prof. J. (ZeroClicks.ai Lab).
Setup Assistant
Дякуємо за допомогу користувачам Digvijay Sai Gujjarlapudi та Kyle Andrews.
Запис додано 24 квітня 2024 року
System Extensions
Дякуємо за допомогу користувачам Jaron Bradley, Ferdous Saljooki та Austin Prueher з Jamf Software.
Запис додано 24 квітня 2024 року
WebKit
Дякуємо за допомогу анонімному досліднику.