Tietoja macOS Big Sur 11.7.5:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Big Sur 11.7.5:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Big Sur 11.7.5
Julkaistu 27.3.2023
Apple Neural Engine
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
Saatavuus: macOS Big Sur
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-26702: nimetön tutkija, Antonio Zekic (@antoniozekic) ja John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Saatavuus: macOS Big Sur
Vaikutus: käyttäjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Saatavuus: macOS Big Sur
Vaikutus: arkisto saattoi pystyä ohittamaan Gatekeeperin.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27951: Brandon Dalton (@partyD0lphin, Red Canary) ja Csaba Fitzl (@theevilbit, Offensive Security)
Kohta päivitetty 11.5.2023
Calendar
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kalenterikutsun tuominen saattoi aiheuttaa käyttäjätietovuodon.
Kuvaus: Useita varmistusongelmia ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
Saatavuus: macOS Big Sur
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27955: JeongOhKyea
CommCenter
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-27936: Tingting Yin (Tsinghua University)
CoreServices
Saatavuus: macOS Big Sur
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-40398: Mickey Jin (@patch1t)
Kohta lisätty 16.7.2024
dcerpc
Saatavuus: macOS Big Sur
Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)
dcerpc
Saatavuus: macOS Big Sur
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)
CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)
Find My
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-23537: nimetön tutkija
FontParser
Saatavuus: macOS Big Sur
Vaikutus: Fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-32366: Ye Zhang (@VAR10CK, Baidu Security)
Kohta lisätty 21.12.2023
Foundation
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen plist-tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2023-27937: nimetön tutkija
Identity Services
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-27928: Csaba Fitzl (@theevilbit, Offensive Security)
ImageIO
Saatavuus: macOS Big Sur
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Saatavuus: macOS Big Sur
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32378: Murray Mike
Kohta lisätty 21.12.2023
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Kohta lisätty 11.5.2023 ja päivitetty 21.12.2023
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-23536: Félix Poulin-Bélanger ja David Pan Ogea
Kohta lisätty 11.5.2023 ja päivitetty 21.12.2023
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-23514: Xinru Chi (Pangu Lab) ja Ned Williamson (Google Project Zero)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.)
Kohta lisätty 21.12.2023
LaunchServices
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-23525: Mickey Jin (@patch1t)
Kohta lisätty 11.5.2023
libpthread
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-41075: Zweig (Kunlun Lab)
Kohta lisätty 21.12.2023
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä tarkastelemaan luottamuksellisia tietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-28189: Mickey Jin (@patch1t)
Kohta lisätty 11.5.2023
Messages
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2023-28197: Joshua Jones
Kohta lisätty 21.12.2023
NetworkExtension
Saatavuus: macOS Big Sur
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä huijaamaan VPN-palvelinta, joka oli määritetty vain EAP-todennuksella laitteessa.
Kuvaus: ongelma on ratkaistu parantamalla todennusta.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-27962: Mickey Jin (@patch1t)
Podcasts
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27942: Mickey Jin (@patch1t)
Kohta lisätty 11.5.2023
System Settings
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-23542: Adam M.
Kohta päivitetty 21.12.2023
System Settings
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu parantamalla validointia.
CVE-2023-28192: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Vim
Saatavuus: macOS Big Sur
Vaikutus: Vimissä esiintyi useita ongelmia.
Kuvaus: Useita ongelmia ratkaistiin päivittämällä Vim versioon 9.0.1191.
CVE-2023-0433
CVE-2023-0512
XPC
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Ongelma on ratkaistu uudella valtuutuksella.
CVE-2023-27944: Mickey Jin (@patch1t)
Kiitokset
Aktivointilukitus
Haluamme kiittää Christian Minaa hänen avustaan.
AppleMobileFileIntegrity
Haluamme kiittää Wojciech Regułaa (@_r3ggi, SecuRing, wojciechregula.blog) hänen avustaan.
CoreServices
Haluamme kiittää avusta Mickey Jiniä (@patch1t).
NSOpenPanel
Haluamme kiittää Alexandre Coluccia (@timacfr) hänen avustaan.
Wi-Fi
Haluamme kiittää avusta nimetöntä tutkijaa.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.