2023-2247: macOS Ventura: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2023-09-22 11:28)

Neues Advisory

Version 2 (2023-09-27 16:14)

Apple hat den Sicherheitshinweis APPLE-SA-09-26-2023-4 (HT213931) für das macOS Ventura 13.6 Release aktualisiert und weitere Schwachstellen als behoben aufgeführt. Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode auszuführen. Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers, beispielsweise die Installation einer speziell präparierten App oder den Besuch einer speziell präparierten Webseite.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Apple

Beschreibung:

Ein Angreifer kann zwei Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren und Sicherheitsvorkehrungen zu umgehen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Apple veröffentlicht macOS Ventura 13.6 als Sicherheitsupdate zur Behebung der Schwachstellen.

Schwachstellen:

CVE-2023-40403

Schwachstelle in libxslt ermöglicht Ausspähen von Informationen

CVE-2023-40406

Schwachstelle in ColorSync ermöglicht Ausspähen von Informationen

CVE-2023-40409

Schwachstelle in Apple Neural Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-40410

Schwachstelle in Apple Neural Engine ermöglicht Ausspähen von Informationen

CVE-2023-40412

Schwachstelle in Apple Neural Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-40420

Schwachstelle in CoreAnimation ermöglicht Denial-of-Service-Angriff

CVE-2023-40427

Schwachstelle in Maps ermöglicht Ausspähen von Informationen

CVE-2023-40452

Schwachstelle in Sandbox ermöglicht Manipulation von Dateien

CVE-2023-40454

Schwachstelle in libxpc ermöglicht Manipulation von Dateien

CVE-2023-41063

Schwachstelle in Pro Res ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-41070

Schwachstelle in Share Sheet ermöglicht Ausspähen von Informationen

CVE-2023-41071

Schwachstelle in Apple Neural Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-41073

Schwachstelle in libxpc ermöglicht Ausspähen von Informationen

CVE-2023-41232

Schwachstelle in Biometric Authentication ermöglicht Ausspähen von Informationen

CVE-2023-41968

Schwachstelle in Disk Management ermöglicht Ausspähen von Informationen

CVE-2023-41981

Schwachstelle in Kernel ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-41984

Schwachstelle in Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-41991

Schwachstelle in Security ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-41992

Schwachstelle in Kernel ermöglicht Privilegieneskalation

CVE-2023-41996

Schwachstelle in Sandbox ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.