Obsah zabezpečenia v systéme macOS Sonoma 14

V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Sonoma 14.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Sonoma 14

AirPort

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-40384: Adam M.

AMD

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-32377: ABC Research s.r.o.

AMD

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-38615: ABC Research s.r.o.

App Store

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Vzdialený útočník môže byť schopný pracovať mimo sandboxu pre webový obsah

Popis: Tento problém bol vyriešený vylepšením spracovania protokolov.

CVE-2023-40448: w0wbox

Apple Neural Engine

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2023-40410: Tim Michaud (@TimGMichaud) z tímu Moveworks.ai

AppleMobileFileIntegrity

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.

CVE-2023-42872: Mickey Jin (@patch1t)

AppSandbox

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-42929: Mickey Jin (@patch1t)

AppSandbox

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k prílohám v Poznámkach

Popis: Problém bol vyriešený vylepšením obmedzenia prístupu k dátovému kontajneru.

CVE-2023-42925: Wojciech Reguła (@_r3ggi) a Kirin (@Pwnrin)

Ask to Buy

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-38612: Chris Ross (Zoom)

AuthKit

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2023-32361: Csaba Fitzl (@theevilbit, Offensive Security)

Bluetooth

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Útočník vo fyzickej blízkosti môže spôsobiť obmedzený zápis mimo rozsahu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-35984: zer0k

Bluetooth

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná obísť určité nastavenia súkromia

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Spracovanie súboru môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

bootp

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2023-41065: Adam M., Noah Roskin-Frazee a profesor Jason Lau (ZeroClicks.ai Lab)

Calendar

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k dátam kalendára uloženým v dočasnom adresári

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2023-29497: Kirin (@Pwnrin) a Yishu Wang

CFNetwork

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže zlyhať pri presadzovaní zabezpečenia prenosu apiek

Popis: Tento problém bol vyriešený vylepšením spracovania protokolov.

CVE-2023-38596: Will Brattain zo spoločnosti Trail of Bits

Clock

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2023-42943: Cristian Dinca (Colegiul Național de Informatică Tudor Vianu, Rumunsko)

ColorSync

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná čítať ľubovoľné súbory

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-40406: JeongOhKyea z tímu Theori

CoreAnimation

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-40420: 이준성 (Junsung Lee) z tímu Cross Republic

Core Data

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2023-40528: Kirin (@Pwnrin) z tímu NorthSea

Core Image

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže mať prístup k upraveným fotkám uloženým v dočasnom adresári

Popis: Problém bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2023-40438: Wojciech Regula z tímu SecuRing (wojciechregula.blog)

CoreMedia

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Rozšírenie kamery môže byť schopné získať prístup k obrazu kamery z apiek odlišných od apky, ktorej bolo toto povolenie udelené

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol

CVE-2023-41994: Halle Winkler (@hallewinkler, Politepix)

CUPS

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2023-40407: Sei K.

Dev Tools

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

FileProvider

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2023-41980: Noah Roskin-Frazee a profesor Jason Lau (ZeroClicks.ai Lab)

FileProvider

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2023-40411: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab) a Csaba Fitzl (@theevilbit) z tímu Offensive Security

Game Center

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup ku kontaktom

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2023-40395: Csaba Fitzl (@theevilbit, Offensive Security)

GPU Drivers

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-40391: Antonio Zekic (@antoniozekic, Dataflow Security)

GPU Drivers

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby

Popis: Dochádzalo k problému súvisiacemu s vyčerpaním prostriedkov, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2023-40441: Ron Masas z tímu Imperva

Graphics Drivers

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2023-42959: Murray Mike

iCloud

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-23495: Csaba Fitzl (@theevilbit, Offensive Security)

iCloud Photo Library

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup ku knižnici fotiek používateľa

Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2023-40434: Mikko Kenttälä (@Turmio_) z¬tímu SensorFu

Image Capture

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2023-40436: Murray Mike

IOUserEthernet

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-40396: Certik Skyfall Team

Kernel

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2023-41995: Tím Certik Skyfall a pattern-f (@pattern_F_) z¬tímu Ant Security Light-Year Lab

CVE-2023-42870: Zweig z tímu Kunlun Lab

Kernel

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Útočník, ktorý už dosiahol spustenie kódu v režime jadra, môže byť schopný obísť bezpečnostné opatrenia v pamäti jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-41981: Linus Henze zo spoločnosti Pinauten GmbH (pinauten.de)

Kernel

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) zo spoločnosti STAR Labs SG Pte. Ltd.

Kernel

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania.

CVE-2023-40429: Michael (Biscuit) Thomas a 张师傅(@京东蓝军)

Kernel

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Vzdialený používateľ môže byť schopný spôsobiť spustenie kódu jadra

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) z tímu MIT CSAIL

LaunchServices

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže obísť kontroly služby Gatekeeper

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo) zo spoločnosti Jamf Software a anonymný výskumník

libpcap

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Vzdialený používateľ môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-40400: Sei K.

libxpc

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná vymazať súbory, pri ktorých na to nemá povolenie

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2023-40454: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-41073: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) zo spoločnosti PK Security

Maps

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2023-40427: Adam M. a Wojciech Regula (wojciechregula.blog) zo spoločnosti SecuRing

Maps

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2023-42957: Adam M., a Ron Masas z tímu BreakPoint Security Research

Messages

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná sledovať nechránené používateľské dáta

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2023-32421: Meng Zhang (鲸落) z tímu NorthSea, Ron Masas z tímu BreakPoint Security Research, Brian McNulty a Kishan Bagaria z tímu Texts.com

Model I/O

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Spracovanie súboru môže viesť k spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-42826: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Model I/O

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2023-42918: Mickey Jin (@patch1t)

Music

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2023-40455: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)

Notes

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k prílohám v Poznámkach

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Vo vzdialenom presmerovaní OpenSSH bolo objavené nedostatočne zabezpečené miesto

Popis: Tento problém bol vyriešený aktualizáciou súčasti OpenSSH na verziu 9.3p2

CVE-2023-38408: baba yaga, anonymný výskumník

Passkeys

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Útočník môže byť schopný bez oprávnenia získať prístup k prihlasovacím kľúčom

Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.

CVE-2023-40401: weize she a anonymný výskumník

Photos

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Fotky v albume so skrytými fotkami môže byť možné zobraziť bez overenia

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-40393: Anonymný výskumník, Berke Kırbaş a Harsh Jaiswal

Photos

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže mať prístup k upraveným fotkám uloženým v dočasnom adresári

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2023-42949: Kirin (@Pwnrin)

Photos Storage

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka s oprávneniami používateľa root môže byť schopná získať prístup k súkromným informáciám

Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2023-42934: Wojciech Regula z tímu SecuRing (wojciechregula.blog)

Power Management

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Používateľ môže byť schopný zobraziť obmedzený obsah na zamknutej obrazovke

Popis: Dochádzalo k problému so zamknutou obrazovkou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi z George Mason University a Billy Tabrizi

Printing

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná upravovať nastavenia tlačiarne

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Printing

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-41987: Kirin (@Pwnrin) a Wojciech Regula z tímu SecuRing (wojciechregula.blog)

Pro Res

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-41063: Tím Certik Skyfall

QuartzCore

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-40422: Tomi Tokics (@tomitokics) z¬tímu iTomsn0w

Safari

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Safari môže ukladať fotky do nechráneného umiestnenia

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná určiť, aké ďalšie apky má používateľ nainštalované

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-35990: Adriatik Raci z tímu Sentry Cybersecurity

Safari

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Návšteva stránky, ktorá obsahuje škodlivý obsah, môže viesť k sfalšovaniu používateľského rozhrania

Popis: Dochádzalo k problému so správou okien, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) zo spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Sandbox

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná prepisovať ľubovoľné súbory

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k odpojiteľným oddielom bez súhlasu používateľa

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apky, ktoré sa nepodarí overiť, sa aj napriek tomu môžu spustiť

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-41996: Mickey Jin (@patch1t) a Yiğit Can YILMAZ (@yilmazcanyigit)

Screen Sharing

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná obísť určité nastavenia súkromia

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-41078: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)

Share Sheet

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k citlivým dátam, ktoré sa zaznamenajú, keď používateľ zdieľa odkaz

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Skratka môže bez súhlasu poskytovať citlivé dáta používateľa

Popis: Tento problém bol vyriešený pridaním ďalšej výzvy na získanie súhlasu používateľa.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) a James Duffy (mangoSecure)

Shortcuts

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením logiky povolení.

CVE-2023-41079: Ron Masas z¬tímu BreakPoint.sh a anonymný výskumník

Spotlight

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

StorageKit

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná čítať ľubovoľné súbory

Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2023-41968: Mickey Jin (@patch1t) a James Hutchins

System Preferences

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže obísť kontroly služby Gatekeeper

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-40450: Thijs Alkemade (@xnyhps, Computest Sector 7)

System Settings

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Pri aktivácii Macu v Obnove macOS nemusí byť vymazané heslo Wi-Fi siete

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2023-42948: Andrew Haggard

TCC

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) a Csaba Fitzl (@theevilbit, Offensive Security)

WebKit

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2023-39434: Francisco Alonso (@revskills) a Dohyun Lee (@l33d0hyun) z tímu PK Security

CVE-2023-40414: Francisco Alonso (@revskills)

WebKit

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-41074: 이준성 (Junsung Lee) z tímu Cross Republic a Jie Ding (@Lime) z tímu HKUS3 Lab

WebKit

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-35074: Dong Jun Kim (@smlijun) a Jong Seong Kim (@nevul37) z tímu Ajou University Abysslab

WebKit

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS starších ako iOS 16.7.

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-41993: Bill Marczak z tímu The Citizen Lab na Munk School v rámci torontskej univerzity a Maddie Stone zo skupiny Threat Analysis Group spoločnosti Google

WebKit

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Funkcia VoiceOver môže prečítať nahlas heslo používateľa

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-32359: Claire Houston

WebKit

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Vzdialený útočník môže byť schopný zobraziť si uniknuté dopyty DNS pri zapnutej funkcii Súkromný prenos

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2023-40385: Anonymný výskumník

WebKit

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Problém so správnosťou bol vyriešený vylepšením kontrol.

CVE-2023-42833: Dong Jun Kim (@smlijun) a Jong Seong Kim (@nevul37) z tímu AbyssLab

Wi-Fi

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2023-38610: Wang Yu (Cyberserval)

Windows Server

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná spôsobiť neočakávaný únik prihlasovacích údajov používateľa zo zabezpečených textových polí

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-41066: Anonymný výskumník, Jeremy Legendre z tímu MacEnhance a Felix Kratz

XProtectFramework

Dostupné pre: Mac Studio (2022 a novší), iMac (2019 a novší), Mac Pro (2019 a novší), Mac mini (2018 a novší), MacBook Air (2018 a novší), MacBook Pro (2018 a novší) a iMac Pro (2017)

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Ďalšie poďakovanie

Airport

Poďakovanie za pomoc si zaslúžia Adam M., Noah Roskin-Frazee a profesor Jason Lau (ZeroClicks.ai Lab).

AppKit

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Apple Neural Engine

Poďakovanie za pomoc si zaslúži pattern-f (@pattern_F_) z tímu Ant Security Light-Year Lab.

AppSandbox

Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).

Archive Utility

Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).

Audio

Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).

Bluetooth

Poďakovanie za pomoc si zaslúžia Jianjun Dai a Guang Gong z tímu 360 Vulnerability Research Institute.

Books

Poďakovanie za pomoc si zaslúži Aapo Oksman z tímu Nixu Cybersecurity.

Control Center

Poďakovanie za pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).

Core Location

Poďakovanie za pomoc si zaslúži Wouter Hennen.

CoreMedia Playback

Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).

CoreServices

Poďakovanie za pomoc si zaslúžia Thijs Alkemade z tímu Computest Sector 7, Wojciech Reguła (@_r3ggi) z tímu SecuRing a anonymný výskumník.

Data Detectors UI

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale.

Find My

Poďakovanie za pomoc si zaslúži Cher Scarlett.

Home

Poďakovanie za pomoc si zaslúži Jake Derouin (jakederouin.com).

IOGraphics

Poďakovanie za pomoc si zaslúži anonymný výskumník.

IOUserEthernet

Poďakovanie za pomoc si zaslúži tím Certik Skyfall.

Kernel

Poďakovanie za pomoc si zaslúžia Bill Marczak z tímu The Citizen Lab na Munk School v rámci Torontskej univerzity, Maddie Stone zo skupiny Threat Analysis Group spoločnosti Google, Xinru Chi z¬tímu Pangu Lab a 永超 王.

libxml2

Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).

libxpc

Poďakovanie za pomoc si zaslúži anonymný výskumník.

libxslt

Poďakovanie za pomoc si zaslúžia Dohyun Lee (@l33d0hyun) zo spoločnosti PK Security, OSS-Fuzz a Ned Williamson (Google Project Zero).

Mail

Poďakovanie za pomoc si zaslúži Taavi Eomäe z tímu Zone Media OÜ.

Menus

Poďakovanie za pomoc si zaslúži Matthew Denton (Google Chrome Security).

NSURL

Poďakovanie za pomoc si zaslúžia Zhanpeng Zhao (行之) a 糖豆爸爸 (@晴天组织).

PackageKit

Poďakovanie za pomoc si zaslúžia Csaba Fitzl (@theevilbit) z¬tímu Offensive Security a anonymný výskumník.

Photos

Poďakovanie za pomoc si zaslúžia Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius a Paul Lurin.

Power Services

Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).

Reminders

Poďakovanie za pomoc si zaslúži Paweł Szafirowski.

Safari

Poďakovanie za pomoc si zaslúži Kang Ali z¬tímu Punggawa Cyber Security.

Sandbox

Poďakovanie za pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).

SharedFileList

Poďakovanie za pomoc si zaslúžia Christopher Lopez - @L0Psec, Kandji, Leo Pitt z tímu Zoom Video Communications, Masahiro Kawada (@kawakatz) z tímu GMO Cybersecurity by Ierae a Ross Bingham (@PwnDexter).

Shortcuts

Poďakovanie za pomoc si zaslúžia Alfie CG, Christian Basting (Bundesamt für Sicherheit in der Informationstechnik), Cristian Dinca (stredná škola Colegiul Național de Informatică Tudor Vianu, Rumunsko), Giorgos Christodoulidis, Jubaer Alnazi (TRS Group Of Companies), KRISHAN KANT DWIVEDI (@xenonx7) a Matthew Butler.

Software Update

Poďakovanie za pomoc si zaslúži Omar Siman.

Spotlight

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale a Dawid Pałuska.

StorageKit

Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).

Video Apps

Poďakovanie za pomoc si zaslúži James Duffy (mangoSecure).

WebKit

Poďakovanie za pomoc si zaslúžia Khiem Tran, Narendra Bhati zo spoločnosti Suma Soft Pvt. Ltd, Pune (India) a anonymný výskumník.

WebRTC

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Wi-Fi

Poďakovanie za pomoc si zaslúžia Adam M. a Wang Yu (Cyberserval).