macOS Sonoma a été officiellement lancé avec de nouvelles fonctionnalités et améliorations telles que des widgets interactifs, le mode jeu, de tout nouveaux fonds d’écran et bien plus encore. Mais l’un des changements importants en coulisses concerne les dizaines de correctifs de sécurité. Voici les 61 correctifs de sécurité fournis avec macOS 14.0.
Il n’est pas surprenant du nombre de correctifs de sécurité disponibles avec macOS Sonoma étant donné qu’il s’agit de la version .0. Mais il est intéressant de voir toutes les vulnérabilités que les développeurs et les chercheurs en sécurité ont découvertes pour aider Apple à publier Sonoma avec une sécurité aussi stricte que possible.
Apple a partagé tous les détails sur son Page des mises à jour de sécurité. Les correctifs vont des problèmes avec Bluetooth, diverses applications, CoreAnimation, GPU, iCloud, noyau, gestion de l’alimentation, Safari, WebKit, etc.
Voici la liste complète des 61 correctifs de sécurité avec macOS Sonoma :
Aéroport
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable de lire des informations de localisation sensibles
Description : un problème d’autorisations a été résolu avec une rédaction améliorée des informations sensibles.
CVE-2023-40384 : Adam M.
DMLA
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème de débordement de mémoire tampon a été résolu par une gestion améliorée de la mémoire.
CVE-2023-32377 : ABC Research sro
DMLA
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : le problème a été résolu par une gestion améliorée de la mémoire.
CVE-2023-38615 : ABC Research sro
Magasin d’applications
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : un attaquant distant pourrait être en mesure de sortir du bac à sable de contenu Web.
Description : le problème a été résolu par une gestion améliorée des protocoles.
CVE-2023-40448 : w0wbox
Moteur neuronal Apple
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : le problème a été résolu par une gestion améliorée de la mémoire.
CVE-2023-40432 : Mohamed GHANNAM (@_simo36)
Moteur neuronal Apple
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure de divulguer la mémoire du noyau
Description : le problème a été résolu par une gestion améliorée de la mémoire.
CVE-2023-40399 : Mohamed GHANNAM (@_simo36)
Moteur neuronal Apple
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure de divulguer la mémoire du noyau
Description : une lecture hors limites a été résolue avec une validation d’entrée améliorée.
CVE-2023-40410 : Tim Michaud (@TimGMichaud) de Moveworks.ai
Kit d’authentification
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure d’accéder aux données sensibles de l’utilisateur
Description : le problème a été résolu par une gestion améliorée des caches.
CVE-2023-32361 : Csaba Fitzl (@theevilbit) de la sécurité offensive
Bluetooth
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : un attaquant à proximité physique peut provoquer une écriture hors limites limitée
Description : le problème a été résolu par des contrôles améliorés.
CVE-2023-35984 : zer0k
Bluetooth
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure d’accéder aux données utilisateur sensibles
Description : un problème d’autorisations a été résolu avec des restrictions supplémentaires.
CVE-2023-40402 : Yiğit Can YILMAZ (@yilmazcanyigit)
Bluetooth
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure de contourner certaines préférences de confidentialité
Description : un problème d’autorisations a été résolu avec des restrictions supplémentaires.
CVE-2023-40426 : Yiğit Can YILMAZ (@yilmazcanyigit)
démarrage
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable de lire des informations de localisation sensibles
Description : un problème de confidentialité a été résolu par une rédaction améliorée des données privées pour les entrées de journal.
CVE-2023-41065 : Adam M., Noah Roskin-Frazee et le professeur Jason Lau (ZeroClicks.ai Lab)
Calendrier
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut accéder aux données de calendrier enregistrées dans un répertoire temporaire.
Description : un problème de confidentialité a été résolu grâce à une gestion améliorée des fichiers temporaires.
CVE-2023-29497 : Kirin (@Pwnrin) et Yishu Wang
Réseau CF
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut ne pas parvenir à appliquer la sécurité du transport des applications
Description : le problème a été résolu par une gestion améliorée des protocoles.
CVE-2023-38596 : Will Brattain à Trail of Bits
Synchronisation des couleurs
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable de lire des fichiers arbitraires
Description : le problème a été résolu par des contrôles améliorés.
CVE-2023-40406 : JeongOhKyea de Theori
Animation de base
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : Le traitement du contenu Web peut entraîner un déni de service
Description : le problème a été résolu par une gestion améliorée de la mémoire.
CVE-2023-40420 : 이준성(Junsung Lee) de Cross Republic
TASSES
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : un attaquant distant peut provoquer un déni de service
Description : le problème a été résolu par des vérifications de limites améliorées.
CVE-2023-40407 : Sei K.
Outils de développement
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut obtenir des privilèges élevés
Description : ce problème a été résolu par des vérifications améliorées.
CVE-2023-32396 : Mickey Jin (@patch1t)
Fournisseur de fichiers
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure de contourner les préférences de confidentialité
Description : un problème d’autorisations a été résolu avec des restrictions supplémentaires.
CVE-2023-41980 : Noah Roskin-Frazee et professeur Jason Lau (ZeroClicks.ai Lab)
Centre de jeu
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut accéder aux contacts
Description : le problème a été résolu par une gestion améliorée des caches.
CVE-2023-40395 : Csaba Fitzl (@theevilbit) de la sécurité offensive
Pilotes GPU
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure de divulguer la mémoire du noyau
Description : le problème a été résolu par une gestion améliorée de la mémoire.
CVE-2023-40391 : Antonio Zekic (@antoniozekic) de Dataflow Security
Pilotes GPU
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : Le traitement du contenu Web peut entraîner un déni de service
Description : un problème d’épuisement des ressources a été résolu grâce à une validation améliorée des entrées.
CVE-2023-40441 : Ron Masas d’Imperva
iCloud
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure d’accéder aux données utilisateur sensibles
Description : un problème d’autorisations a été résolu avec une rédaction améliorée des informations sensibles.
CVE-2023-23495 : Csaba Fitzl (@theevilbit) de la sécurité offensive
Bibliothèque de photos iCloud
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut accéder à la bibliothèque de photos d’un utilisateur.
Description : un problème de configuration a été résolu avec des restrictions supplémentaires.
CVE-2023-40434 : Mikko Kenttälä (@Turmio_) de SensorFu
Capture d’image
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : un processus en bac à sable peut être en mesure de contourner les restrictions du bac à sable
Description : un problème d’accès a été résolu par des restrictions supplémentaires du bac à sable.
CVE-2023-38586 : Yiğit Can YILMAZ (@yilmazcanyigit)
Famille IOAccelerator
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : un attaquant peut provoquer une interruption inattendue du système ou lire la mémoire du noyau.
Description : le problème a été résolu par des vérifications de limites améliorées.
CVE-2023-40436 : Murray Mike
Noyau
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème d’utilisation après libération a été résolu par une gestion améliorée de la mémoire.
CVE-2023-41995 : équipe Certik Skyfall et pattern-f (@pattern_F_) du laboratoire Ant Security Light-Year
Noyau
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : un attaquant ayant déjà réussi à exécuter le code du noyau peut être en mesure de contourner les atténuations de la mémoire du noyau.
Description : le problème a été résolu par une gestion améliorée de la mémoire.
CVE-2023-41981 : Linus Henze de Pinauten GmbH (pinauten.de)
Noyau
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : le problème a été résolu par une gestion améliorée de la mémoire.
CVE-2023-41984 : Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Noyau
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure d’accéder aux données utilisateur sensibles
Description : un problème d’autorisations a été résolu avec une validation améliorée.
CVE-2023-40429 : Michael (Biscuit) Thomas et 张师傅 (@京东蓝军)
Services de lancement
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut contourner les contrôles Gatekeeper
Description : un problème de logique a été résolu avec des vérifications améliorées.
CVE-2023-41067 : Ferdous Saljooki (@malwarezoo) de Jamf Software et un chercheur anonyme
libpcap
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : un utilisateur distant peut provoquer la fermeture inattendue d’une application ou l’exécution de code arbitraire.
Description : ce problème a été résolu par des vérifications améliorées.
CVE-2023-40400 : Sei K.
libxpc
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure de supprimer des fichiers pour lesquels elle n’a pas l’autorisation
Description : un problème d’autorisations a été résolu avec des restrictions supplémentaires.
CVE-2023-40454 : Zhipeng Huo (@R3dF09) du laboratoire Tencent Security Xuanwu (xlab.tencent.com)
libxpc
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure d’accéder aux données utilisateur protégées
Description : un problème d’autorisation a été résolu par une gestion améliorée de l’état.
CVE-2023-41073 : Zhipeng Huo (@R3dF09) du laboratoire Tencent Security Xuanwu (xlab.tencent.com)
libxslt
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : Le traitement du contenu Web peut divulguer des informations sensibles
Description : le problème a été résolu par une gestion améliorée de la mémoire.
CVE-2023-40403 : Dohyun Lee (@l33d0hyun) de PK Security
Plans
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable de lire des informations de localisation sensibles
Description : le problème a été résolu par une gestion améliorée des caches.
CVE-2023-40427 : Adam M. et Wojciech Regula de SecuRing (wojciechregula.blog)
messages
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure d’observer les données utilisateur non protégées
Description : un problème de confidentialité a été résolu grâce à une gestion améliorée des fichiers temporaires.
CVE-2023-32421 : Meng Zhang (鲸落) de NorthSea, Ron Masas de BreakPoint Security Research, Brian McNulty et Kishan Bagaria de Texts.com
Musique
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable de modifier les parties protégées du système de fichiers
Description : le problème a été résolu par des contrôles améliorés.
CVE-2023-41986 : Gergely Kalman (@gergely_kalman)
Cadre NetFS
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : un processus en bac à sable peut être en mesure de contourner les restrictions du bac à sable
Description : un problème d’autorisations a été résolu avec des restrictions supplémentaires.
CVE-2023-40455 : Zhipeng Huo (@R3dF09) du laboratoire Tencent Security Xuanwu (xlab.tencent.com)
Remarques
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut accéder aux pièces jointes Notes
Description : un problème de confidentialité a été résolu grâce à une gestion améliorée des fichiers temporaires.
CVE-2023-40386 : Kirin (@Pwnrin)
Gestion de l’alimentation
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : un utilisateur peut être en mesure d’afficher du contenu restreint à partir de l’écran de verrouillage
Description : un problème d’écran de verrouillage a été résolu avec une gestion améliorée de l’état.
CVE-2023-37448 : Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi de l’Université George Mason et Dominic Tabrizi
Résolution professionnelle
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : le problème a été résolu par une gestion améliorée de la mémoire.
CVE-2023-41063 : Équipe Certik Skyfall
QuartzCore
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut provoquer un déni de service
Description : le problème a été résolu par une gestion améliorée de la mémoire.
CVE-2023-40422 : Tomi Tokics (@tomitokics) de iTomsn0w
Safari
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : Le traitement du contenu Web peut divulguer des informations sensibles
Description : le problème a été résolu par des contrôles améliorés.
CVE-2023-39233 : Luan Herrera (@lbherrera_)
Safari
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : Safari peut enregistrer des photos dans un emplacement non protégé
Description : un problème de confidentialité a été résolu grâce à une gestion améliorée des fichiers temporaires.
CVE-2023-40388 : Kirin (@Pwnrin)
Safari
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable d’identifier les autres applications qu’un utilisateur a installées
Description : le problème a été résolu par des contrôles améliorés.
CVE-2023-35990 : Adriatik Raci de Sentry Cybersecurity
Safari
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : la visite d’un site Web contenant du contenu malveillant peut entraîner une usurpation d’identité de l’interface utilisateur.
Description : un problème de gestion des fenêtres a été résolu avec une gestion améliorée de l’état.
CVE-2023-40417 : Narendra Bhati de Suma Soft Pvt. Ltd, Pune (Inde)
bac à sable
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable d’écraser des fichiers arbitraires
Description : le problème a été résolu par des vérifications de limites améliorées.
CVE-2023-40452 : Yiğit Can YILMAZ (@yilmazcanyigit)
Partage d’écran
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure de contourner certaines préférences de confidentialité
Description : un problème d’autorisation a été résolu par une gestion améliorée de l’état.
CVE-2023-41078 : Zhipeng Huo (@R3dF09) du laboratoire Tencent Security Xuanwu (xlab.tencent.com)
Partager la feuille
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut accéder aux données sensibles enregistrées lorsqu’un utilisateur partage un lien
Description : un problème de logique a été résolu avec des vérifications améliorées.
CVE-2023-41070 : Kirin (@Pwnrin)
Raccourcis
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : un raccourci peut générer des données utilisateur sensibles sans consentement
Description : ce problème a été résolu en ajoutant une invite supplémentaire pour le consentement de l’utilisateur.
CVE-2023-40541 : Noah Roskin-Frazee (ZeroClicks.ai Lab) et James Duffy (mangoSecure)
Raccourcis
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure de contourner les préférences de confidentialité
Description : le problème a été résolu par une logique d’autorisation améliorée.
CVE-2023-41079 : Ron Masas de BreakPoint.sh et un chercheur anonyme
Kit de stockage
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable de lire des fichiers arbitraires
Description : ce problème a été résolu par une validation améliorée des liens symboliques.
CVE-2023-41968 : Mickey Jin (@patch1t) et James Hutchins
Préférences de système
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut contourner les contrôles Gatekeeper
Description : le problème a été résolu par des contrôles améliorés.
CVE-2023-40450 : Thijs Alkemade (@xnyhps) du secteur informatique 7
CTC
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être en mesure d’accéder aux données sensibles de l’utilisateur
Description : le problème a été résolu par des contrôles améliorés.
CVE-2023-40424 : Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) et Csaba Fitzl (@theevilbit) d’Offensive Security
Kit Web
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : le traitement du contenu Web peut conduire à l’exécution de code arbitraire
Description : un problème d’utilisation après libération a été résolu par une gestion améliorée de la mémoire.
WebKit Bugzilla : 249451
CVE-2023-39434 : Francisco Alonso (@revskills) et Dohyun Lee (@l33d0hyun) de PK Security
Kit Web
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : le traitement du contenu Web peut conduire à l’exécution de code arbitraire
Description : le problème a été résolu par des contrôles améliorés.
WebKit Bugzilla : 256551
CVE-2023-41074 : 이준성(Junsung Lee) de Cross Republic et moi Li
Kit Web
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : le traitement du contenu Web peut conduire à l’exécution de code arbitraire
Description : le problème a été résolu par une gestion améliorée de la mémoire.
WebKit Bugzilla : 239758
CVE-2023-35074 : Abysslab Dong Jun Kim (@smlijun) et Jong Seong Kim (@nevul37)
Kit Web
Disponible pour : Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures). plus tard) et iMac Pro (2017)
Impact : Le traitement du contenu Web peut conduire à l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.7.
Description : le problème a été résolu par des contrôles améliorés.
WebKit Bugzilla : 261544
CVE-2023-41993 : Bill Marczak du Citizen Lab de la Munk School de l’Université de Toronto et Maddie Stone du groupe d’analyse des menaces de Google
Serveur Windows
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut divulguer de manière inattendue les informations d’identification d’un utilisateur à partir de champs de texte sécurisés.
Description : un problème d’authentification a été résolu avec une gestion améliorée de l’état.
CVE-2023-41066 : Un chercheur anonyme et Jeremy Legendre de MacEnhance
XProtectFramework
Disponible pour : Mac Studio (2022 et versions ultérieures), iMac (2019 et versions ultérieures), Mac Pro (2019 et versions ultérieures), Mac mini (2018 et versions ultérieures), MacBook Air (2018 et versions ultérieures), MacBook Pro (2018 et versions ultérieures), et iMac Pro (2017)
Impact : une application peut être capable de modifier les parties protégées du système de fichiers
Description : une condition de concurrence critique a été résolue avec un verrouillage amélioré.
CVE-2023-41979 : Koh M. Nakagawa (@tsunek0h)
Reconnaissance supplémentaire
Aéroport
Nous tenons à remercier Adam M., Noah Roskin-Frazee et le professeur Jason Lau (ZeroClicks.ai Lab) pour leur aide.
Kit d’applications
Nous tenons à remercier un chercheur anonyme pour son aide.
AppSandbox
Nous tenons à remercier Kirin (@Pwnrin) pour son aide.
Utilitaire d’archivage
Nous tenons à remercier Mickey Jin (@patch1t) pour son aide.
l’audio
Nous tenons à remercier Mickey Jin (@patch1t) pour son aide.
Bluetooth
Nous tenons à remercier Jianjun Dai et Guang Gong du 360 Vulnerability Research Institute pour leur aide.
Emplacement principal
Nous tenons à remercier Wouter Hennen pour son aide.
Lecture CoreMedia
Nous tenons à remercier Mickey Jin (@patch1t) pour son aide.
Interface utilisateur des détecteurs de données
Nous tenons à remercier Abhay Kailasia (@abhay_kailasia) du Lakshmi Narain College Of Technology Bhopal pour son aide.
Trouver mon
Nous tenons à remercier Cher Scarlett pour son aide.
Maison
Nous tenons à remercier Jake Derouin (jakederouin.com) pour son aide.
IOGraphiques
Nous tenons à remercier un chercheur anonyme pour son aide.
Noyau
Nous tenons à remercier Bill Marczak du Citizen Lab de la Munk School de l’Université de Toronto et Maddie Stone du groupe d’analyse des menaces de Google, Xinru Chi du Pangu Lab, 永超王 pour leur aide.
libxml2
Nous tenons à remercier OSS-Fuzz, Ned Williamson de Google Project Zero pour leur aide.
libxpc
Nous tenons à remercier un chercheur anonyme pour son aide.
libxslt
Nous tenons à remercier Dohyun Lee (@l33d0hyun) de PK Security, OSS-Fuzz, Ned Williamson de Google Project Zero pour leur aide.
Modèle E/S
Nous tenons à remercier Mickey Jin (@patch1t) pour son aide.
NSURL
Nous tenons à remercier Zhanpeng Zhao (行之), 糖豆爸爸 (@晴天组织) pour son aide.
PackageKit
Nous tenons à remercier Csaba Fitzl (@theevilbit) d’Offensive Security, un chercheur anonyme pour son aide.
Photos
Nous tenons à remercier Anatolii Kozlov, Dawid Pałuska, Kirin (@Pwnrin), Lyndon Cornelius et Paul Lurin pour leur aide.
Rappels
Nous tenons à remercier Paweł Szafirowski pour son aide.
Safari
Nous tenons à remercier Kang Ali de Punggawa Cyber Security pour son aide.
bac à sable
Nous tenons à remercier Yiğit Can YILMAZ (@yilmazcanyigit) pour son aide.
Liste de fichiers partagés
Nous tenons à remercier Christopher Lopez – @L0Psec et Kandji, Leo Pitt de Zoom Video Communications, Ross Bingham (@PwnDexter) pour leur aide.
Raccourcis
Nous tenons à remercier Alfie Cockell Gwinnett, Christian Basting du Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca de l’École supérieure nationale d’informatique « Tudor Vianu », Roumanie, Giorgos Christodoulidis, Jubaer Alnazi du groupe d’entreprises TRS, KRISHAN KANT DWIVEDI, Matthew Butler pour leur aide.
Mise à jour logicielle
Nous tenons à remercier Omar Siman pour son aide.
Projecteur
Nous tenons à remercier Abhay Kailasia (@abhay_kailasia) du Lakshmi Narain College Of Technology Bhopal, Dawid Pałuska pour son aide.
Kit de stockage
Nous tenons à remercier Mickey Jin (@patch1t) pour son aide.
Applications vidéo
Nous tenons à remercier James Duffy (mangoSecure) pour son aide.
Kit Web
Nous tenons à remercier Khiem Tran, Narendra Bhati de Suma Soft Pvt. Ltd, Pune (Inde), et un chercheur anonyme pour leur aide.
WebRTC
Nous tenons à remercier les chercheurs anonymes pour leur aide.
Wifi
Nous tenons à remercier Wang Yu de Cyberserval pour son aide.