Informationen zum Sicherheitsinhalt von macOS Big Sur 11.7.7

In diesem Dokument wird der Sicherheitsinhalt von macOS Big Sur 11.7.7 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

macOS Big Sur 11.7.7

Veröffentlicht am 18. Mai 2023

Accessibility

Verfügbar für: macOS Big Sur

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-32388: Kirin (@Pwnrin)

AppleEvents

Verfügbar für: macOS Big Sur

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung der vertraulichen Informationen behoben.

CVE-2023-28191: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Verfügbar für: macOS Big Sur

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch verbesserte Berechtigungen behoben.

CVE-2023-32411: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Verfügbar für: macOS Big Sur

Auswirkung: Eine Anwendung kann möglicherweise Code in empfindliche, mit Xcode gebündelte Binärdateien einbringen.

Beschreibung: Dieses Problem wurde behoben, indem für die betroffenen Binärdateien auf der Systemebene eine gehärtete Laufzeit erzwungen wurde.

CVE-2023-32383: James Duffy (mangoSecure)

Eintrag am 21. Dezember 2023 hinzugefügt

Contacts

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann möglicherweise ungeschützte Benutzerdaten ausspähen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Verarbeitung von temporären Dateien behoben.

CVE-2023-32386: Kirin (@Pwnrin)

CoreCapture

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-28181: Tingting Yin von der Tsinghua-Universität

CUPS

Verfügbar für: macOS Big Sur

Auswirkung: Ein nicht authentifizierter Benutzer kann möglicherweise auf kürzlich ausgedruckte Dokumente zugreifen.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-32360: Gerhard Muth

dcerpc

Verfügbar für: macOS Big Sur

Auswirkung: Entfernte Angreifer können möglicherweise einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-32387: Dimitrios Tatsis von Cisco Talos

Dev Tools

Verfügbar für: macOS Big Sur

Auswirkung: Eine in der Sandbox ausgeführte App kann möglicherweise Systemprotokolle erfassen.

Beschreibung: Dieses Problem wurde durch verbesserte Berechtigungen behoben.

CVE-2023-27945: Mickey Jin (@patch1t)

GeoServices

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-32392: Adam M.

Eintrag aktualisiert am 21. Dezember 2023

ImageIO

Verfügbar für: macOS Big Sur

Auswirkung: Die Verarbeitung eines Bildes kann möglicherweise zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-32384: Meysam Firouzi @R00tkitsmm in Zusammenarbeit mit Trend Micro Zero Day Initiative

IOSurface

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status preisgeben.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-32410: Hou Xuewei (@p1ay8y3ar) vmk msu

Kernel

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann Root-Rechte erlangen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) von Synacktiv (@Synacktiv) in Zusammenarbeit mit Trend Micro Zero Day Initiative

Kernel

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-32398: Adam Doupé von ASU SEFCOM

LaunchServices

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann Gatekeeper-Überprüfungen umgehen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) von SecuRing (wojciechregula.blog)

libxpc

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-32369: Jonathan Bar Or von Microsoft, Anurag Bohra von Microsoft und Michael Pearse von Microsoft

libxpc

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2023-32405: Thijs Alkemade (@xnyhps) von Computest Sector 7

Metal

Verfügbar für: macOS Big Sur

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Verfügbar für: macOS Big Sur

Auswirkung: Die Verarbeitung eines 3D-Modells kann möglicherweise zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-32380: Mickey Jin (@patch1t)

Model I/O

Verfügbar für: macOS Big Sur

Auswirkung: Die Verarbeitung eines 3D-Modells kann möglicherweise zur Offenlegung des Prozessspeichers führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-32382: Mickey Jin (@patch1t)

NetworkExtension

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann vertrauliche Standortdaten lesen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Weitergabe sensibler Daten behoben.

CVE-2023-32403: Adam M.

Eintrag aktualisiert am 21. Dezember 2023

PackageKit

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-32355: Mickey Jin (@patch1t)

Perl

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-32395: Arsenii Kostromin (0x3c3e)

Quick Look

Verfügbar für: macOS Big Sur

Auswirkung: Die Verarbeitung einer Office-Datei kann zu einem unerwarteten App-Abbruch oder zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-32401: Holger Fuhrmannek von der Deutsche Telekom Security GmbH im Namen des BSI (Deutsches Bundesamt für Sicherheit in der Informationstechnik)

Eintrag am 21. Dezember 2023 hinzugefügt

Sandbox

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann weiterhin auf Systemkonfigurationsdateien zugreifen, auch nachdem die Zugriffsrechte entzogen wurden.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa von FFRI Security, Inc., Kirin (@Pwnrin) und Csaba Fitzl (@theevilbit) von Offensive Security

Shell

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Telephony

Verfügbar für: macOS Big Sur

Auswirkung: Entfernte Angreifer können möglicherweise einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-32412: Ivan Fratric von Google Project Zero

 

Zusätzliche Danksagung

libxml2

Wir möchten uns bei OSS-Fuzz und Ned Williamson von Google Project Zero für die Unterstützung bedanken.

Reminders

Wir möchten uns bei Kirin (@Pwnrin) für die Unterstützung bedanken.

Security

Wir möchten uns bei James Duffy (mangoSecure) für die Unterstützung bedanken.

Wi-Fi

Wir möchten uns für die Unterstützung bei Adam M bedanken.

Eintrag aktualisiert am 21. Dezember 2023

Wi-Fi Connectivity

Wir möchten uns für die Unterstützung bei Adam M bedanken.

Eintrag aktualisiert am 21. Dezember 2023

 

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: