macOS Ventura 13.3 推出新表情符号、触控板修复和安全更新
根据来自可靠消息来源的多个传言,声称苹果正准备推出 15 英寸4 月份推出 MacBook Air,以及即将发布的首款 基于 Apple 芯片的 Mac Pro ,Apple 发布了 macOS 13.3 更新。
13.3 更新是在 1 月 23 日全面发布 macOS Ventura 13.2 之后发布的,其中包括近两打安全更新以及对物理 FIDO 认证安全密钥的支持。 Apple 在 2 月中旬发布了 macOS Ventura 13.2.1,新增了三项关键安全功能修复了其中一个针对可能导致任意代码执行的 WebKit 漏洞的修复。
macOS 13.3 发行说明
正如 Apple 的发行说明所述,这些是 macOS 13.3 中的新功能:此更新包括 30 多个针对 Mac 的安全更新,您可以在下面找到这些更新:
- • 表情符号键盘现已提供 21 个新表情符号,包括动物、手势和物体
- • 自由格式中的”删除背景”选项会自动隔离图像中的主题
- • 照片重复相册扩展了对检测 iCloud 共享照片库中重复照片和视频的支持
- • 对古吉拉特语、旁遮普语和乌尔都语键盘的音译支持
- • Choctaw、Chickasaw、Akan、Hausa 和 Yoruba 的新键盘布局
- • 辅助功能设置可在检测到闪光或频闪效果时自动调暗视频
- • 天气应用中地图的 VoiceOver 支持
- • 解决了触控板手势偶尔会停止响应的问题
- • 修复了儿童提出的购买请求可能无法显示在家长设备上的问题
- • 解决了使用 Finder 后 VoiceOver 可能无响应的问题
macOS Ventura 13.3:如何安装
- 点击 Apple 菜单并选择”系统设置”。
- 在左侧边栏中选择”常规”。
- 在窗口的主要部分中选择”软件更新”。
- 您的 Mac 将在线检查是否有任何可用更新。如果有可用更新,则会显示说明。单击”立即更新”按钮开始安装。更新将下载到您的 Mac 并且安装程序将运行。 Mac 需要重新启动才能完成安装。
macOS Ventura 13.3 安全发行说明
Apple 的 安全更新页面包含有关 13.3 中安全更新的详细信息。以下是安全说明。
AMD
- 适用于:macOS Ventura
- 影响:应用可能会导致系统意外终止或写入内核内存
- 描述:已通过改进内存处理解决缓冲区溢出问题。
- CVE-2023-27968:ABC Research s.r.o.
苹果神经引擎
- 适用于:macOS Ventura
- 影响:应用或许能够突破沙盒
- 说明:此问题已通过改进检查得到解决。
- CVE-2023-23532:Mohamed Ghannam (@_simo36)
AppleMobileFileIntegrity
- 适用于:macOS Ventura
- 影响:用户可能会获得对文件系统受保护部分的访问权限
- 说明:该问题已通过改进检查得到解决。
- CVE-2023-23527:Mickey Jin (@patch1t)
AppleMobileFileIntegrity
- 适用于:macOS Ventura
- 影响:应用可能能够访问用户敏感数据
- 描述:此问题已通过删除易受攻击的代码得到解决。
- CVE-2023-27931:Mickey Jin (@patch1t)
存档实用程序
- 适用于:macOS Ventura
- 影响:存档可能能够绕过 Gatekeeper
- 说明:该问题已通过改进检查得到解决。
- CVE-2023-27951:Red Canary 的 Brandon Dalton 和 Offective Security 的 Csaba Fitzl (@theevilbit)
日历
- 适用于:macOS Ventura
- 影响:导入恶意制作的日历邀请可能会泄露用户信息
- 说明:通过改进输入清理解决了多个验证问题。
- CVE-2023-27961:Rıza Sabuncu – twitter.com/rizasabuncu
相机
- 适用于:macOS Ventura
- 影响:沙盒应用或许能够确定哪个应用当前正在使用相机
- 描述:该问题已通过对应用状态的可观察性施加额外限制得到解决。
- CVE-2023-23543:Yiğit Can YILMAZ (@yilmazcanyigit)
碳芯
- 适用于:macOS Ventura
- 影响:处理恶意制作的图像可能会导致进程内存泄露
- 说明:该问题已通过改进检查得到解决。
- CVE-2023-23534:Mickey Jin (@patch1t)
色彩同步
- 适用于:macOS Ventura
- 影响:应用可能能够读取任意文件
- 说明:该问题已通过改进检查得到解决。
- CVE-2023-27955:JeongOhKyea
通讯中心
- 适用于:macOS Ventura
- 影响:应用可能会导致系统意外终止或写入内核内存
- 描述:越界写入问题已通过改进输入验证得到解决。
- CVE-2023-27936:清华大学的 Tingting Yin
核心捕获
- 适用于:macOS Ventura
- 影响:应用可能能够使用内核权限执行任意代码
- 描述:该问题已通过改进内存处理得到解决。
- CVE-2023-28181:清华大学的 Tingting Yin
卷曲
- 适用于:macOS Ventura
- 影响:curl 中存在多个问题
- 说明:通过更新curl 解决了多个问题。
- CVE-2022-43551
- CVE-2022-43552
dcerpc
- 适用于:macOS Ventura
- 影响:远程用户可能会导致应用意外终止或任意代码执行
- 描述:内存初始化问题已得到解决。
- CVE-2023-27934:Cisco Talos 的 Aleksandar Nikolic
dcerpc
- 适用于:macOS Ventura
- 影响:拥有特权网络地位的用户可能会导致拒绝服务
- 描述:拒绝服务问题已通过改进内存处理得到解决。
- CVE-2023-28180:Cisco Talos 的 Aleksandar Nikolic
dcerpc
- 适用于:macOS Ventura
- 影响:远程用户可能会导致应用意外终止或任意代码执行
- 描述:该问题已通过改进边界检查得到解决。
- CVE-2023-27935:Cisco Talos 的 Aleksandar Nikolic
dcerpc
- 适用于:macOS Ventura
- 影响:远程用户可能会导致系统意外终止或内核内存损坏
- 描述:该问题已通过改进内存处理得到解决。
- CVE-2023-27953:Cisco Talos 的 Aleksandar Nikolic
- CVE-2023-27958:Cisco Talos 的 Aleksandar Nikolic
显示
- 适用于:macOS Ventura
- 影响:应用可能能够使用内核权限执行任意代码
- 描述:内存损坏问题已通过改进状态管理得到解决。
- CVE-2023-27965:盘古实验室的 Proteas
FaceTime
- 适用于:macOS Ventura
- 影响:应用可能能够访问用户敏感数据
- 说明:通过将敏感数据移至更安全的位置解决了隐私问题。
- CVE-2023-28190:约书亚·琼斯
查找我的
- 适用于:macOS Ventura
- 影响:应用可能能够读取敏感位置信息
- 说明:通过改进日志条目的私人数据编辑功能解决了隐私问题。
- CVE-2023-23537:匿名研究人员
字体解析器
- 适用于:macOS Ventura
- 影响:处理恶意制作的图像可能会导致进程内存泄露
- 描述:该问题已通过改进内存处理得到解决。
- CVE-2023-27956:百度安全的 Ye Zhang
基础
- 适用于:macOS Ventura
- 影响:解析恶意制作的 plist 可能会导致应用意外终止或任意代码执行
- 描述:已通过改进输入验证解决整数溢出问题。
- CVE-2023-27937:匿名研究人员
iCloud
- 适用于:macOS Ventura
- 影响:iCloud 共享文件夹中的文件可能能够绕过 Gatekeeper
- 说明:此问题已通过 Gatekeeper 对从 iCloud 共享文件夹下载的文件进行额外检查来解决。
- CVE-2023-23526:TRS Group of Companies 的 Jubaer Alnazi
身份服务
- 适用于:macOS Ventura
- 影响:应用或许能够访问有关用户联系人的信息
- 说明:通过改进日志条目的私人数据编辑功能解决了隐私问题。
- CVE-2023-27928:进攻性安全部门的 Csaba Fitzl (@theevilbit)
图像IO
- 适用于:macOS Ventura
- 影响:处理恶意制作的图像可能会导致进程内存泄露
- 描述:该问题已通过改进内存处理得到解决。
- CVE-2023-23535:ryuzaki
图像IO
- 适用于:macOS Ventura
- 影响:处理恶意制作的图像可能会导致进程内存泄露
- 描述:已通过改进输入验证解决越界读取问题。
- CVE-2023-27929:Mbition 梅赛德斯-奔驰创新实验室的 Meysam Firouzi (@R00tkitSMM) 和 jzhu 与趋势科技零日计划合作
图像IO
- 适用于:macOS Ventura
- 影响:处理恶意制作的文件可能会导致应用意外终止或任意代码执行
- 描述:已通过改进边界检查解决越界读取问题。
- CVE-2023-27946:Mickey Jin (@patch1t)
图像IO
- 适用于:macOS Ventura
- 影响:处理恶意制作的文件可能会导致应用意外终止或任意代码执行
- 描述:已通过改进内存处理解决缓冲区溢出问题。
- CVE-2023-27957:Yiğit Can YILMAZ (@yilmazcanyigit)
内核
- 适用于:macOS Ventura
- 影响:应用可能能够使用内核权限执行任意代码
- 说明:已通过改进内存管理解决释放后使用问题。
- CVE-2023-23514:盘古实验室的 Xinru Chi、Google 零号项目的 Ned Williamson
- CVE-2023-27969:ASU SEFCOM 的 Adam Doupé
内核
- 适用于:macOS Ventura
- 影响:具有 root 权限的应用可能能够使用内核权限执行任意代码
- 描述:该问题已通过改进内存处理得到解决。
- CVE-2023-27933:sqrtpwn
内核
- 适用于:macOS Ventura
- 影响:应用可能会泄露内核内存
- 描述:存在越界读取问题,导致内核内存泄露。此问题已通过改进输入验证得到解决。
- CVE-2023-27941:Arsenii Kostromin (0x3c3e)
内核
- 适用于:macOS Ventura
- 影响:应用可能会泄露内核内存
- 说明:已通过改进输入清理解决验证问题。
- CVE-2023-28200:Arsenii Kostromin (0x3c3e)
启动服务
- 适用于:macOS Ventura
- 影响:从互联网下载的文件可能未应用隔离标志
- 说明:此问题已通过改进检查得到解决。
- CVE-2023-27943:匿名研究员 Brandon Dalton、Milan Tenk 和 Arthur Valiev
启动服务
- 适用于:macOS Ventura
- 影响:应用或许能够获得 root 权限
- 说明:此问题已通过改进检查得到解决。
- CVE-2023-23525:Mickey Jin (@patch1t)
模型 I/O
- 适用于:macOS Ventura
- 影响:处理恶意制作的文件可能会导致应用意外终止或任意代码执行
- 描述:已通过改进输入验证解决越界读取问题。
- CVE-2023-27949:Mickey Jin (@patch1t)
网络扩展
- 适用于:macOS Ventura
- 影响:拥有特权网络地位的用户可能能够欺骗在设备上配置了仅 EAP 身份验证的 VPN 服务器
- 描述:该问题已通过改进身份验证得到解决。
- CVE-2023-28182:Zhuowei 张
PackageKit
- 适用于:macOS Ventura
- 影响:应用或许能够修改文件系统的受保护部分
- 描述:已通过改进检查解决逻辑问题。
- CVE-2023-23538:Mickey Jin (@patch1t)
- CVE-2023-27962:Mickey Jin (@patch1t)
照片
- 适用于:macOS Ventura
- 影响:无需通过 Visual Lookup 进行身份验证即可查看属于隐藏照片相册的照片
- 描述:已通过改进限制解决逻辑问题。
- CVE-2023-23523:developStorm
播客
- 适用于:macOS Ventura
- 影响:应用可能能够访问用户敏感数据
- 说明:该问题已通过改进检查得到解决。
- CVE-2023-27942:Mickey Jin (@patch1t)
Safari
- 适用于:macOS Ventura
- 影响:应用可能会绕过 Gatekeeper 检查
- 描述:已通过改进锁定解决竞争条件。
- CVE-2023-27952:进攻性安全部门的 Csaba Fitzl (@theevilbit)
沙盒
- 适用于:macOS Ventura
- 影响:应用或许能够修改文件系统的受保护部分
- 描述:已通过改进检查解决逻辑问题。
- CVE-2023-23533:FFRI Security, Inc. 的 Mickey Jin (@patch1t)、Koh M. Nakakawa 和 Offective Security 的 Csaba Fitzl (@theevilbit)
沙盒
- 适用于:macOS Ventura
- 影响:应用可能能够绕过隐私偏好设置
- 说明:已通过改进验证解决逻辑问题。
- CVE-2023-28178:Yiğit Can YILMAZ (@yilmazcanyigit)
快捷方式
- 适用于:macOS Ventura
- 影响:快捷方式可能能够在某些操作中使用敏感数据,而无需提示用户
- 描述:该问题已通过额外的权限检查得到解决。
- CVE-2023-27963:TRS Group Of Companies 的 Jubaer Alnazi Jabin、阿里巴巴集团的 Wenchao Li 和Xiaolong Bai
系统设置
- 适用于:macOS Ventura
- 影响:应用可能能够访问用户敏感数据
- 说明:通过改进日志条目的私人数据编辑功能解决了隐私问题。
- CVE-2023-23542:匿名研究人员
系统设置
- 适用于:macOS Ventura
- 影响:应用可能能够读取敏感位置信息
- 说明:已通过改进验证解决权限问题。
- CVE-2023-28192:Best Buddy Apps 的 Guilherme Rambo (rambo.codes)
TCC
- 适用于:macOS Ventura
- 影响:应用可能能够访问用户敏感数据
- 描述:此问题已通过删除易受攻击的代码得到解决。
- CVE-2023-27931:Mickey Jin (@patch1t)
Vim
- 适用于:macOS Ventura
- 影响:Vim 中存在多个问题
- 描述:更新到 Vim 版本 9.0.1191 解决了多个问题。
- CVE-2023-0049
- CVE-2023-0051
- CVE-2023-0054
- CVE-2023-0288
- CVE-2023-0433
- CVE-2023-0512
WebKit
- 适用于:macOS Ventura
- 影响:处理恶意制作的网页内容可能会绕过同源政策
- 描述:此问题已通过改进状态管理得到解决。
- CVE-2023-27932:匿名研究人员
WebKit
- 适用于:macOS Ventura
- 影响:网站或许能够跟踪敏感的用户信息
- 说明:该问题已通过删除来源信息得到解决。
- CVE-2023-27954:匿名研究人员
XPC
- 适用于:macOS Ventura
- 影响:应用或许能够突破沙盒
- 说明:此问题已通过新权利得到解决。
- CVE-2023-27944:Mickey Jin (@patch1t)