Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
macOS Big Sur 11.7.5
Vydáno 27. března 2023
Apple Neural Engine
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-23540: Mohamed Ghannam (@_simo36)
AppleAVD
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2022-26702: anonymní výzkumník, Antonio Zekic (@antoniozekic) a John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
K dispozici pro: macOS Big Sur
Dopad: Uživateli se může podařit získat přístup k chráněným částem souborového systému.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
K dispozici pro: macOS Big Sur
Dopad: Archiv může být schopen obejít Gatekeeper.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) ze společnosti Red Canary a Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Záznam aktualizován 11. května 2023
Calendar
K dispozici pro: macOS Big Sur
Dopad: Import škodlivé kalendářové pozvánky může vést k úniku uživatelských informací.
Popis: Několik problémů s ověřováním bylo vyřešeno vylepšením sanitizace vstupů.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
K dispozici pro: macOS Big Sur
Dopad: Zpracování škodlivého obrázku může vést k odhalení paměti procesu.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit číst libovolné soubory.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2023-27955: JeongOhKyea
CommCenter
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2023-27936: Tingting Yin z univerzity Tsinghua
dcerpc
K dispozici pro: macOS Big Sur
Dopad: Vzdálenému uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2023-27935: Aleksandar Nikolic ze společnosti Cisco Talos
dcerpc
K dispozici pro: macOS Big Sur
Dopad: Vzdálenému uživateli se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-27953: Aleksandar Nikolic ze společnosti Cisco Talos
CVE-2023-27958: Aleksandar Nikolic ze společnosti Cisco Talos
Find My
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.
CVE-2023-23537: anonymní výzkumník
FontParser
K dispozici pro: macOS Big Sur
Dopad: Zpracován souboru písma může vést ke spuštění libovolného kódu
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2023-32366: Ye Zhang (@VAR10CK) z týmu Baidu Security
Záznam přidán 21. prosince 2023
Foundation
K dispozici pro: macOS Big Sur
Dopad: Parsování škodlivého souboru plist může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Chyba s přetečením celého čísla byla vyřešena vylepšením ověřování vstupů.
CVE-2023-27937: anonymní výzkumník
Identity Services
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit číst údaje o uživatelově kontaktech.
Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.
CVE-2023-27928: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
ImageIO
K dispozici pro: macOS Big Sur
Dopad: Zpracování škodlivého souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
K dispozici pro: macOS Big Sur
Dopad: Zpracování škodlivého obrázku může vést k odhalení paměti procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2023-32378: Murray Mike
Záznam přidán 21. prosince 2023
Kernel
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Existoval problém se čtením mimo rozsah, který vedl k odhalení paměti jádra. Problém byl vyřešen vylepšením ověřování vstupů.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Záznam přidán 11. května 2023, aktualizováno 21. prosince 2023
Kernel K dispozici pro: macOS Big Sur Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru. Popis: Problém byl vyřešen vylepšením kontroly rozsahu. CVE-2023-23536: Félix Poulin-Bélanger a David Pan Ogea Záznam přidán 11. května 2023, aktualizován 21. prosince 2023
Kernel K dispozici pro: macOS Big Sur Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru. Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti. CVE-2023-23514: Xinru Chi z týmu Pangu Lab a Ned Williamson z týmu Google Project Zero Kernel K dispozici pro: macOS Big Sur Dopad: Aplikaci se může podařit odhalit obsah paměti jádra. Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů. CVE-2023-28200: Arsenii Kostromin (0x3c3e) Kernel K dispozici pro: macOS Big Sur Dopad: Aplikaci se může podařit způsobit odmítnutí služby. Popis: Přetečení celých čísel bylo vyřešeno vylepšením ověřování vstupů. CVE-2023-28185: Pan ZhenPeng ze společnosti STAR Labs SG Pte. Ltd. Záznam přidán 21. prosince 2023
LaunchServices K dispozici pro: macOS Big Sur Dopad: Aplikaci se může podařit získat kořenová oprávnění. Popis: Problém byl vyřešen vylepšením kontrol. CVE-2023-23525: Mickey Jin (@patch1t) Záznam přidán 11. května 2023
libpthread K dispozici pro: macOS Big Sur Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru. Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol. CVE-2023-41075: Zweig z týmu Kunlun Lab Záznam přidán 21. prosince 2023
Mail K dispozici pro: macOS Big Sur Dopad: Aplikaci se může podařit zobrazit citlivé údaje. Popis: Problém byl vyřešen vylepšením kontroly. CVE-2023-28189: Mickey Jin (@patch1t) Záznam přidán 11. května 2023
Messages K dispozici pro: macOS Big Sur Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli. Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu. CVE-2023-28197: Joshua Jones Záznam přidán 21. prosince 2023
NetworkExtension K dispozici pro: macOS Big Sur Dopad: Uživateli s vysokými oprávněními v síti se může podařit zfalšovat VPN server, který je na zařízení nakonfigurovaný pouze s ověřováním EAP. Popis: Problém byl vyřešen vylepšením ověřování. CVE-2023-28182: Zhuowei Zhang PackageKit K dispozici pro: macOS Big Sur Dopad: Aplikaci se může podařit upravit chráněné části souborového systému. Popis: Problém v logice byl vyřešen vylepšením kontrol. CVE-2023-27962: Mickey Jin (@patch1t) Podcasts K dispozici pro: macOS Big Sur Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli. Popis: Problém byl vyřešen vylepšením kontroly. CVE-2023-27942: Mickey Jin (@patch1t) Záznam přidán 11. května 2023
System Settings K dispozici pro: macOS Big Sur Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli. Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu. CVE-2023-23542: Adam M. Záznam aktualizován 21. prosince 2023
System Settings K dispozici pro: macOS Big Sur Dopad: Aplikaci se může podařit číst citlivé polohové informace. Popis: Problém s oprávněními byl vyřešen vylepšením ověřování. CVE-2023-28192: Guilherme Rambo z týmu Best Buddy Apps (rambo.codes) Vim K dispozici pro: macOS Big Sur Dopad: Několik problémů v součásti Vim. Popis: Několik problémů bylo vyřešeno aktualizováním Vim na verzi 9.0.1191. CVE-2023-0433 CVE-2023-0512 XPC K dispozici pro: macOS Big Sur Dopad: Aplikaci se může podařit uniknout ze sandboxu. Popis: Problém byl vyřešen novým oprávněním. CVE-2023-27944: Mickey Jin (@patch1t)
Další poděkování
Activation Lock
Poděkování za pomoc zaslouží Christian Mina.
AppleMobileFileIntegrity
Poděkování za pomoc zaslouží Wojciech Reguła (@_r3ggi) ze společnosti SecuRing (wojciechregula.blog).
CoreServices
Poděkování za pomoc zaslouží Mickey Jin (@patch1t).
NSOpenPanel
Poděkování za pomoc zaslouží Alexandre Colucci (@timacfr).
Wi-Fi
Poděkování za pomoc zaslouží anonymní výzkumník.