Tietoja macOS Big Sur 11.7.9:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Big Sur 11.7.9:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Big Sur 11.7.9
Julkaistu 24.7.2023
Accessibility
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-40442: Nick Brook
Kohta lisätty 8.9.2023
Apple Neural Engine
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-34425: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Kohta lisätty 27.7.2023
AppSandbox
Saatavuus: macOS Big Sur
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Kohta lisätty 27.7.2023
Assets
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-40392: Wojciech Regula (SecuRing, wojciechregula.blog)
Kohta lisätty 8.9.2023
CUPS
Saatavuus: macOS Big Sur
Vaikutus: etuoikeutetussa verkkoasemassa oleva käyttäjä saattoi pystyä vuotamaan arkaluontoisia tietoja.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-34241: Sei K.
Kohta lisätty 27.7.2023
curl
Saatavuus: macOS Big Sur
Vaikutus: curlissa oli useita ongelmia.
Kuvaus: useita ongelmia ratkaistiin päivittämällä curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
FontParser
Saatavuus: macOS Big Sur
Vaikutus: Fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 15.7.1 ‑versiota julkaistuissa iOS-versioissa.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) ja Boris Larin (@oct0xor, Kaspersky)
Kohta lisätty 8.9.2023
Grapher
Saatavuus: macOS Big Sur
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-36854: Bool of YunShangHuaAn (云上华安)
CVE-2023-32418: Bool of YunShangHuaAn (云上华安)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32381: nimetön tutkija
CVE-2023-32433: Zweig (Kunlun Lab)
CVE-2023-35993: Kaitao Xie ja Xiaolong Bai (Alibaba Group)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-38603: Zweig (Kunlun Lab)
Kohta lisätty 27.7.2023
Kernel
Saatavuus: macOS Big Sur
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-38590: Zweig (Kunlun Lab)
Kohta lisätty 27.7.2023
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Kohta lisätty 27.7.2023
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Kohta lisätty 27.7.2023
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-38604: nimetön tutkija
Kohta lisätty 27.7.2023
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä muokkaamaan arkaluonteisia kernelin tilatietoja. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 15.7.1 ‑versiota julkaistuissa iOS-versioissa.
Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) ja Boris Larin (@oct0xor) (Kaspersky)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14, STAR Labs SG Pte. Ltd.)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-38603: Zweig (Kunlun Lab)
Kohta lisätty 22.12.2023
libxpc
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2023-38565: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
libxpc
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-38593: Noah Roskin-Frazee
Music
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Kohta lisätty 27.7.2023
ncurses
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi aiheuttaa apin odottamattoman sulkeutumisen tai suorittaa mielivaltaista koodia.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2023-29491: Jonathan Bar Or (Microsoft), Emanuele Cozzi (Microsoft) ja Michael Pearse (Microsoft)
Kohta lisätty 8.9.2023
Net-SNMP
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-38601: Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 27.7.2023
NSSpellChecker
Saatavuus: macOS Big Sur
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2023-32444: Mickey Jin (@patch1t)
Kohta lisätty 27.7.2023
OpenLDAP
Saatavuus: macOS Big Sur
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-2953: Sandipan Roy
OpenSSH
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä käyttämään SSH-salauslauseita.
Kuvaus: Ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.
CVE-2023-42829: James Duffy (mangoSecure)
Kohta lisätty 22.12.2023
PackageKit
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-42831: James Duffy (mangoSecure)
Kohta lisätty 22.12.2023
sips
Saatavuus: macOS Big Sur
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-32443: David Hoyt (Hoyt LLC)
Software Update
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Kohta lisätty 22.12.2023
SQLite
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: ongelma on ratkaistu lisäämällä SQLite-lisäkirjauksen rajoituksia.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) ja Wojciech Regula (SecuRing (wojciechregula.blog))
Kohta lisätty 8.9.2023
SystemMigration
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-32429: Wenchao Li ja Xiaolong Bai (Hangzhou Orange Shield Information Technology Co., Ltd.)
Kohta lisätty 27.7.2023
tcpdump
Saatavuus: macOS Big Sur
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-1801
Kohta lisätty 22.12.2023
Vim
Saatavuus: macOS Big Sur
Vaikutus: Vimissä esiintyi useita ongelmia.
Kuvaus: useita ongelmia ratkaistiin päivittämällä Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Kohta lisätty 22.12.2023
Kiitokset
Haluamme kiittää avusta Parvez Anwaria.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.