Om sikkerhedsindholdet i macOS Big Sur 11.7.9
I dette dokument beskrives sikkerhedsindholdet i macOS Big Sur 11.7.9.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
macOS Big Sur 11.7.9
Udgivet 24. juli 2023
Accessibility
Fås til: macOS Big Sur
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-40442: Nick Brook
Post tilføjet 8. september 2023
Apple Neural Engine
Fås til: macOS Big Sur
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-34425: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab
Post tilføjet 27. juli 2023
AppSandbox
Fås til: macOS Big Sur
Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Post tilføjet 27. juli 2023
Assets
Fås til: macOS Big Sur
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Problemet er løst via forbedret databeskyttelse.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Fås til: macOS Big Sur
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-40392: Wojciech Regula fra SecuRing (wojciechregula.blog)
Post tilføjet 8. september 2023
CUPS
Fås til: macOS Big Sur
Effekt: En bruger med en privilegeret netværksposition kan afsløre følsomme oplysninger
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-34241: Sei K.
Post tilføjet 27. juli 2023
curl
Fås til: macOS Big Sur
Effekt: Flere sikkerhedsproblemer i curl
Beskrivelse: Flere problemer blev løst ved at opdatere curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
FontParser
Fås til: macOS Big Sur
Effekt: Behandling af et skriftarkiv kan medføre kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet i tidligere versioner af iOS fra før iOS 15.7.1.
Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) og Boris Larin (@oct0xor) fra Kaspersky
Post tilføjet 8. september 2023
Grapher
Fås til: macOS Big Sur
Effekt: Behandling af et arkiv kan føre til uventet appafslutning eller kørsel af vilkårlig kode
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-36854: Bool fra YunShangHuaAn (云上华安)
CVE-2023-32418: Bool fra YunShangHuaAn (云上华安)
Kernel
Fås til: macOS Big Sur
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.
CVE-2023-32381: En anonym programmør
CVE-2023-32433: Zweig fra Kunlun Lab
CVE-2023-35993: Kaitao Xie og Xiaolong Bai fra Alibaba Group
Kernel
Fås til: macOS Big Sur
Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-38603: Zweig fra Kunlun Lab
Post tilføjet 27. juli 2023
Kernel
Fås til: macOS Big Sur
Effekt: En fjernbruger kan muligvis få adgang til at udføre uventet systemlukning eller læse fra kernehukommelsen
Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.
CVE-2023-38590: Zweig fra Kunlun Lab
Post tilføjet 27. juli 2023
Kernel
Fås til: macOS Big Sur
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Post tilføjet 27. juli 2023
Kernel
Fås til: macOS Big Sur
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Post tilføjet 27. juli 2023
Kernel
Fås til: macOS Big Sur
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2023-38604: En anonym programmør
Post tilføjet 27. juli 2023
Kernel
Fås til: macOS Big Sur
Effekt: En app kan forårsage, at en følsom kernestatus ændres. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet i tidligere versioner af iOS fra før iOS 15.7.1.
Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) og Boris Larin (@oct0xor) fra Kaspersky
Kernel
Fås til: macOS Big Sur
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs SG Pte. Ltd.
Kernel
Fås til: macOS Big Sur
Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-38603: Zweig fra Kunlun Lab
Post tilføjet 22. december 2023
libxpc
Fås til: macOS Big Sur
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.
CVE-2023-38565: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Fås til: macOS Big Sur
Effekt: En app kan forårsage et DoS-angreb
Beskrivelse: Et logikproblem er løst ved forbedret kontrol.
CVE-2023-38593: Noah Roskin-Frazee
Music
Fås til: macOS Big Sur
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet er løst via forbedret godkendelse af symbolske links.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Post tilføjet 27. juli 2023
ncurses
Fås til: macOS Big Sur
Effekt: En app kan forårsage uventet applukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2023-29491: Jonathan Bar Or fra Microsoft, Emanuele Cozzi fra Microsoft og Michael Pearse fra Microsoft
Post tilføjet 8. september 2023
Net-SNMP
Fås til: macOS Big Sur
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2023-38601: Csaba Fitzl (@theevilbit) fra Offensive Security
Post tilføjet 27. juli 2023
NSSpellChecker
Fås til: macOS Big Sur
Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2023-32444: Mickey Jin (@patch1t)
Post tilføjet 27. juli 2023
OpenLDAP
Fås til: macOS Big Sur
Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-2953: Sandipan Roy
OpenSSH
Fås til: macOS Big Sur
Effekt: En app kan muligvis få adgang til SSH-adgangskoder
Beskrivelse: Problemet blev løst via yderligere begrænsninger for observerbarhed af apptilstande.
CVE-2023-42829: James Duffy (mangoSecure)
Post tilføjet 22. december 2023
PackageKit
Fås til: macOS Big Sur
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Fås til: macOS Big Sur
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
Fås til: macOS Big Sur
Effekt: En app kan muligvis få adgang til at aflæse brugerens fingeraftryk
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2023-42831: James Duffy (mangoSecure)
Post tilføjet 22. december 2023
sips
Fås til: macOS Big Sur
Effekt: Behandling af et arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-32443: David Hoyt fra Hoyt LLC
Software Update
Fås til: macOS Big Sur
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Post tilføjet 22. december 2023
SQLite
Fås til: macOS Big Sur
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet blev løst ved at tilføje yderligere begrænsninger af SQLite-logføring.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) og Wojciech Regula fra SecuRing (wojciechregula.blog)
Post tilføjet 8. september 2023
SystemMigration
Fås til: macOS Big Sur
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-32429: Wenchao Li og Xiaolong Bai fra Hangzhou Orange Shield Information Technology Co., Ltd.
Post tilføjet 27. juli 2023
tcpdump
Fås til: macOS Big Sur
Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2023-1801
Post tilføjet 22. december 2023
Vim
Fås til: macOS Big Sur
Effekt: Flere problemer i Vim
Beskrivelse: Flere problemer er løst ved at opdatere Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Post tilføjet 22. december 2023
Yderligere anerkendelser
Vi vil gerne takke Parvez Anwar for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.