Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Big Sur 11.7.5
Julkaistu 27.3.2023
Apple Neural Engine
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
Saatavuus: macOS Big Sur
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-26702: nimetön tutkija, Antonio Zekic (@antoniozekic) ja John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Saatavuus: macOS Big Sur
Vaikutus: Käyttäjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Saatavuus: macOS Big Sur
Vaikutus: arkisto saattoi pystyä ohittamaan Gatekeeperin.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27951: Brandon Dalton (@partyD0lphin, Red Canary) ja Csaba Fitzl (@theevilbit, Offensive Security)
Kohta päivitetty 11.5.2023
Calendar
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kalenterikutsun tuominen saattoi aiheuttaa käyttäjätietovuodon.
Kuvaus: Useita varmistusongelmia ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
Saatavuus: macOS Big Sur
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27955: JeongOhKyea
CommCenter
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-27936: Tingting Yin (Tsinghua University)
dcerpc
Saatavuus: macOS Big Sur
Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)
dcerpc
Saatavuus: macOS Big Sur
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)
CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)
Find My
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-23537: nimetön tutkija
FontParser
Saatavuus: macOS Big Sur
Vaikutus: Fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-32366: Ye Zhang (@VAR10CK, Baidu Security)
Kohta lisätty 21.12.2023
Foundation
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen plist-tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2023-27937: nimetön tutkija
Identity Services
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-27928: Csaba Fitzl (@theevilbit, Offensive Security)
ImageIO
Saatavuus: macOS Big Sur
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Saatavuus: macOS Big Sur
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32378: Murray Mike
Kohta lisätty 21.12.2023
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä
Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Kohta lisätty 11.5.2023 ja päivitetty 21.12.2023
Kernel Saatavuus: macOS Big Sur Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia. CVE-2023-23536: Félix Poulin-Bélanger ja David Pan Ogea Kohta lisätty 11.5.2023 ja päivitetty 21.12.2023
Kernel Saatavuus: macOS Big Sur Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa. CVE-2023-23514: Xinru Chi (Pangu Lab) ja Ned Williamson (Google Project Zero) Kernel Saatavuus: macOS Big Sur Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista. CVE-2023-28200: Arsenii Kostromin (0x3c3e) Kernel Saatavuus: macOS Big Sur Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston. Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista. CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.) Kohta lisätty 21.12.2023
LaunchServices Saatavuus: macOS Big Sur Vaikutus: appi saattoi saada pääkäyttöoikeudet. Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia. CVE-2023-23525: Mickey Jin (@patch1t) Kohta lisätty 11.5.2023
libpthread Saatavuus: macOS Big Sur Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia. CVE-2023-41075: Zweig (Kunlun Lab) Kohta lisätty 21.12.2023
Mail Saatavuus: macOS Big Sur Vaikutus: appi saattoi pystyä tarkastelemaan luottamuksellisia tietoja. Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia. CVE-2023-28189: Mickey Jin (@patch1t) Kohta lisätty 11.5.2023
Viestit Saatavuus: macOS Big Sur Vaikutus: Appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja. Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia. CVE-2023-28197: Joshua Jones Kohta lisätty 21.12.2023
NetworkExtension Saatavuus: macOS Big Sur Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä huijaamaan VPN-palvelinta, joka oli määritetty vain EAP-todennuksella laitteessa. Kuvaus: Ongelma on ratkaistu parantamalla tunnistautumista. CVE-2023-28182: Zhuowei Zhang PackageKit Saatavuus: macOS Big Sur Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia. CVE-2023-27962: Mickey Jin (@patch1t) Podcastit Saatavuus: macOS Big Sur Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja. Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia. CVE-2023-27942: Mickey Jin (@patch1t) Kohta lisätty 11.5.2023
System Settings Saatavuus: macOS Big Sur Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja. Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä. CVE-2023-23542: Adam M. Kohta päivitetty 21.12.2023
System Settings Saatavuus: macOS Big Sur Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja Kuvaus: Käyttöoikeusongelma on ratkaistu parantamalla validointia. CVE-2023-28192: Guilherme Rambo (Best Buddy Apps, rambo.codes) Vim Saatavuus: macOS Big Sur Vaikutus: Vimissä esiintyi useita ongelmia. Kuvaus: Useita ongelmia ratkaistiin päivittämällä Vim versioon 9.0.1191. CVE-2023-0433 CVE-2023-0512 XPC Saatavuus: macOS Big Sur Vaikutus: appi saattoi pystyä poistumaan eristyksestään Kuvaus: Ongelma on ratkaistu uudella valtuutuksella. CVE-2023-27944: Mickey Jin (@patch1t)
Kiitokset
Activation Lock
Haluamme kiittää Christian Minaa hänen avustaan.
AppleMobileFileIntegrity
Haluamme kiittää Wojciech Regułaa (@_r3ggi, SecuRing, wojciechregula.blog) hänen avustaan.
CoreServices
Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.
NSOpenPanel
Haluamme kiittää Alexandre Coluccia (@timacfr) hänen avustaan.
Wi-Fi
Haluamme kiittää avusta nimetöntä tutkijaa.