Πληροφορίες σχετικά με το περιεχόμενο για την ασφάλεια για το macOS Big Sur 11.7.5
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Big Sur 11.7.5.
Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
macOS Big Sur 11.7.5
Κυκλοφόρησε στις 27 Μαρτίου 2023
Apple Neural Engine
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2022-26702: ένας ανώνυμος ερευνητής, Antonio Zekic (@antoniozekic) και John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια αρχειοθήκη ενδέχεται να μπορεί να παρακάμψει το Gatekeeper
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) της Red Canary και Csaba Fitzl (@theevilbit) της Offensive Security
Η καταχώριση ενημερώθηκε στις 11 Μαΐου 2023
Calendar
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η εισαγωγή μιας κακόβουλης πρόσκλησης ημερολογίου ενδέχεται να οδηγήσει σε διαρροή των πληροφοριών του χρήστη
Περιγραφή: Πολλά προβλήματα επικύρωσης αντιμετωπίστηκαν με τη βελτίωση της εξυγίανσης εισόδου.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης αυθαίρετων αρχείων
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-27955: JeongOhKyea
CommCenter
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή στη μνήμη πυρήνα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-27936: Tingting Yin του Tsinghua University
CoreServices
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-40398: Mickey Jin (@patch1t)
Η καταχώριση προστέθηκε στις 16 Ιουλίου 2024
dcerpc
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας απομακρυσμένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.
CVE-2023-27935: Aleksandar Nikolic της Cisco Talos
dcerpc
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-27953: Aleksandar Nikolic της Cisco Talos
CVE-2023-27958: Aleksandar Nikolic της Cisco Talos
Find My
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2023-23537: ανώνυμος ερευνητής
FontParser
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-32366: Ye Zhang (@VAR10CK) της Baidu Security
Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023
Foundation
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η ανάλυση ενός κακόβουλου plist μπορεί να οδηγήσει σε απρόσμενο τερματισμό εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2023-27937: ένας ανώνυμος ερευνητής
Identity Services
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση στις πληροφορίες σχετικά με τις επαφές ενός χρήστη
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2023-27928: Csaba Fitzl (@theevilbit) της Offensive Security
ImageIO
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2023-32378: Murray Mike
Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023
Kernel
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Η καταχώριση προστέθηκε στις 11 Μαΐου 2023 και ενημερώθηκε στις 21 Δεκεμβρίου 2023
Kernel
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.
CVE-2023-23536: Félix Poulin-Bélanger και David Pan Ogea
Η καταχώριση προστέθηκε στις 11 Μαΐου 2023 και ενημερώθηκε στις 21 Δεκεμβρίου 2023
Kernel
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2023-23514: Xinru Chi του Pangu Lab και Ned Williamson του Google Project Zero
Kernel
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2023-28185: Pan ZhenPeng, STAR Labs SG Pte. Ltd.
Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023
LaunchServices
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-23525: Mickey Jin (@patch1t)
Η ενημέρωση προστέθηκε στις 11 Μαΐου 2023
libpthread
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπων αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-41075: Zweig του Kunlun Lab
Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προβάλει ευαίσθητες πληροφορίες
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-28189: Mickey Jin (@patch1t)
Η ενημέρωση προστέθηκε στις 11 Μαΐου 2023
Messages
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.
CVE-2023-28197: Joshua Jones
Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023
NetworkExtension
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας χρήστης με προνομιακή θέση δικτύου ενδέχεται να μπορεί να εξαπατήσει έναν διακομιστή VPN ότι έχει διαμορφωθεί με έλεγχο ταυτότητας μόνο EAP σε μια συσκευή
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο ταυτότητας.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-27962: Mickey Jin (@patch1t)
Podcast
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-27942: Mickey Jin (@patch1t)
Η ενημέρωση προστέθηκε στις 11 Μαΐου 2023
System Settings
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2023-23542: Adam M.
Η καταχώριση ενημερώθηκε στις 21 Δεκεμβρίου 2023
System Settings
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.
CVE-2023-28192: Guilherme Rambo της Best Buddy Apps (rambo.codes)
Vim
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Πολλαπλά προβλήματα στο Vim
Περιγραφή: Πολλαπλά προβλήματα αντιμετωπίστηκαν με την ενημέρωση στην έκδοση Vim 9.0.1191.
CVE-2023-0433
CVE-2023-0512
XPC
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με νέα δικαιώματα.
CVE-2023-27944: Mickey Jin (@patch1t)
Επιπλέον αναγνώριση
Κλείδωμα ενεργοποίησης
Θα θέλαμε να ευχαριστήσουμε τον Christian Mina για τη βοήθειά του.
AppleMobileFileIntegrity
Θα θέλαμε να ευχαριστήσουμε τον Wojciech Reguła (@_r3ggi) της SecuRing (wojciechregula.blog) για τη βοήθειά του.
CoreServices
Θα θέλαμε να ευχαριστήσουμε τον Mickey Jin (@patch1t) για τη βοήθειά του.
NSOpenPanel
Θα θέλαμε να ευχαριστήσουμε τον Alexandre Colucci (@timacfr) για τη βοήθειά του.
Wi-Fi
Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.