Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Big Sur 11.7.7
Julkaistu 18.5.2023
Accessibility
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: Ongelma ratkaistiin parantamalla arkaluonteisten tietojen sensurointia.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lisäämään ohjelmakoodia Xcodella koostettuihin kriittisiin binaaritiedostoihin.
Kuvaus: ongelma korjattiin pakottamalla järjestelmätason vahvistettu käytönaikainen suojaus binaaritiedostoille, joihin ongelma vaikutti.
CVE-2023-32383: James Duffy (mangoSecure)
Kohta lisätty 21.12.2023
Contacts
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä tarkastelemaan suojaamattomia käyttäjätietoja.
Kuvaus: Tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-32386: Kirin (@Pwnrin)
CoreCapture
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-28181: Tingting Yin (Tsinghua University)
CUPS
Saatavuus: macOS Big Sur
Vaikutus: todentautumaton käyttäjä saattoi pystyä käyttämään äskettäin tulostettuja asiakirjoja.
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-32360: Gerhard Muth
dcerpc
Saatavuus: macOS Big Sur
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32387: Dimitrios Tatsis (Cisco Talos)
Dev Tools
Saatavuus: macOS Big Sur
Vaikutus: eristetty appi saattoi pystyä keräämään järjestelmälokeja.
Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-32392: Adam M.
Kohta päivitetty 21.12.2023
ImageIO
Saatavuus: macOS Big Sur
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.
CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) yhteistyössä Trend Micro Zero Day Initiativen kanssa
IOSurface
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2023-32413: Trend Micro Zero Day Initiativen parissa työskentelevä Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv, @Synacktiv)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
LaunchServices
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-32352: Wojciech Reguła (@_r3ggi, SecuRing, wojciechregula.blog)
libxpc
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) ja Michael Pearse (Microsoft)
libxpc
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-32405: Thijs Alkemade (@xnyhps, Computest Sector 7)
Metal
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Saatavuus: macOS Big Sur
Vaikutus: 3D-mallin käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-32380: Mickey Jin (@patch1t)
Model I/O
Saatavuus: macOS Big Sur
Vaikutus: 3D-mallin käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-32382: Mickey Jin (@patch1t)
NetworkExtension
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: Tämä ongelma ratkaistiin parantamalla arkaluonteisten tietojen sensurointia.
CVE-2023-32403: Adam M.
Kohta päivitetty 21.12.2023
PackageKit
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Saatavuus: macOS Big Sur
Vaikutus: Office-tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen.
Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.
CVE-2023-32401: Holger Fuhrmannek (Deutsche Telekom Security GmbH, BSI / German Federal Office for Information Securityn puolesta)
Kohta lisätty 21.12.2023
Sandbox
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä säilyttämään järjestelmän määritystietojen käyttöoikeudet, vaikka apin lupa kumottiin.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) ja Csaba Fitzl (@theevilbit, Offensive Security)
Shell
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Saatavuus: macOS Big Sur
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
Kiitokset
libxml2
Haluamme kiittää avusta OSS-Fuzzia ja Ned Williamsonia (Google Project Zero).
Reminders
Haluamme kiittää avusta Kirinia (@Pwnrin).
Security
Haluamme kiittää avusta James Duffya (mangoSecure).
Wi-Fi
Kiitämme Adam M:ää hänen antamastaan avusta.
Kohta päivitetty 21.12.2023
Wi-Fi Connectivity
Kiitämme Adam M:ää hänen antamastaan avusta.
Kohta päivitetty 21.12.2023