Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
macOS Big Sur 11.7.7
Vydáno 18. května 2023
Accessibility
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém byl vyřešen vylepšením mazání citlivých údajů.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém byl vyřešen vylepšením oprávnění.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit vložit kód do citlivých programů, které jsou součástí Xcodu.
Popis: Tento problém byl vyřešen vynucením nastavení Hardened Runtime na dotčených programech na systémové úrovni.
CVE-2023-32383: James Duffy (mangoSecure)
Záznam přidán 21. prosince 2023
Contacts
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit pozorovat nechráněná uživatelská data.
Popis: Problém se soukromím byl vyřešen lepším zpracováváním dočasných souborů.
CVE-2023-32386: Kirin (@Pwnrin)
CoreCapture
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-28181: Tingting Yin z univerzity Tsinghua
CUPS
K dispozici pro: macOS Big Sur
Dopad: Neoprávněnému uživateli se může podařit získat přístup k posledním vytištěným dokumentům.
Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.
CVE-2023-32360: Gerhard Muth
dcerpc
K dispozici pro: macOS Big Sur
Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2023-32387: Dimitrios Tatsis ze společnosti Cisco Talos
Dev Tools
K dispozici pro: macOS Big Sur
Dopad: Aplikace v izolovaném prostoru může být schopna shromažďovat systémové protokoly.
Popis: Problém byl vyřešen vylepšením oprávnění.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.
CVE-2023-32392: Adam M.
Záznam aktualizován 21. prosince 2023
ImageIO
K dispozici pro: macOS Big Sur
Dopad: Zpracování obrázku může vést ke spuštění libovolného kódu.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm ve spolupráci se Zero Day Initiative společnosti Trend Micro
IOSurface
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit získat oprávnění root.
Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) z týmu Synacktiv (@Synacktiv) ve spolupráci se Zero Day Initiative společnosti Trend Micro
Kernel
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2023-32398: Adam Doupé ze společnosti ASU SEFCOM
LaunchServices
K dispozici pro: macOS Big Sur
Dopad: Aplikace může obejít kontroly Gatekeepera
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) ze společnosti SecuRing (wojciechregula.blog)
libxpc
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2023-32369: Jonathan Bar Or ze společnosti Microsoft, Anurag Bohra ze společnosti Microsoft a Michael Pearse ze společnosti Microsoft
libxpc
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit získat kořenová oprávnění.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2023-32405: Thijs Alkemade (@xnyhps) ze skupiny Sector 7 společnosti Computest
Metal
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
K dispozici pro: macOS Big Sur
Dopad: Zpracování 3D modelu může vést ke spuštění libovolného kódu.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2023-32380: Mickey Jin (@patch1t)
Model I/O
K dispozici pro: macOS Big Sur
Dopad: Zpracování 3D modelu může vést k odhalení procesní paměti.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2023-32382: Mickey Jin (@patch1t)
NetworkExtension
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém byl vyřešen vylepšením mazání citlivých údajů.
CVE-2023-32403: Adam M.
Záznam aktualizován 21. prosince 2023
PackageKit
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
K dispozici pro: macOS Big Sur
Dopad: Parsování dokumentu sady Office může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.
CVE-2023-32401: Holger Fuhrmannek z týmu Deutsche Telekom Security GmbH za BSI (německý federální úřad pro bezpečnost informací)
Záznam přidán 21. prosince 2023
Sandbox
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit zachovat si přístup k souborům systémové konfigurace i potom, co jí byla odvolána oprávnění.
Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa ze společnosti FFRI Security, Inc., Kirin (@Pwnrin) a Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Shell
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
K dispozici pro: macOS Big Sur
Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2023-32412: Ivan Fratric z týmu Google Project Zero
Další poděkování
libxml2
Poděkování za pomoc zaslouží OSS-Fuzz, Ned Williamson z týmu Google Project Zero.
Reminders
Poděkování za pomoc zaslouží Kirin (@Pwnrin).
Security
Poděkování za pomoc si zaslouží James Duffy (mangoSecure).
Wi-Fi
Poděkování za pomoc zaslouží Adam M.
Záznam aktualizován 21. prosince 2023
Wi-Fi Connectivity
Poděkování za pomoc zaslouží Adam M.
Záznam aktualizován 21. prosince 2023