Informacije o sigurnosnom sadržaju sustava macOS Big Sur 11.7.7
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Big Sur 11.7.7.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Big Sur 11.7.7
Objavljeno 18. svibnja 2023.
Accessibility
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Big Sur
Učinak: aplikacija može umetnuti kod u osjetljive binarne datoteke u paketu s alatima Xcode
Opis: problem je riješen primjenom dodatnog osiguranja pokretanja na zahvaćenim binarnim datotekama na razini sustava.
CVE-2023-32383: James Duffy (mangoSecure)
Unos je dodan 21. prosinca 2023.
Contacts
Dostupno za: macOS Big Sur
Učinak: aplikacija može vidjeti nezaštićene korisničke podatke
Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.
CVE-2023-32386: Kirin (@Pwnrin)
CoreCapture
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-28181: Tingting Yin (Sveučilište Tsinghua)
CUPS
Dostupno za: macOS Big Sur
Učinak: korisnik kojem nije provjerena autentičnost mogao bi pristupati nedavno ispisanim dokumentima
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32360: Gerhard Muth
dcerpc
Dostupno za: macOS Big Sur
Učinak: udaljeni napadači mogo bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32387: Dimitrios Tatsis iz tvrtke Cisco Talos
Dev Tools
Dostupno za: macOS Big Sur
Učinak: aplikacija u zaštićenom okruženju može prikupiti zapisnike sustava
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Dostupno za: macOS Big Sur
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-32392: Adam M.
Unos je ažuriran 21. prosinca 2023.
ImageIO
Dostupno za: macOS Big Sur
Učinak; obrada slike mogla bi izazvati izvršavanje proizvoljnog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
IOSurface
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) (vmk msu)
Kernel
Dostupno za: macOS Big Sur
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) iz tvrtke Synacktiv (@Synacktiv) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
Kernel
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32398: Adam Doupé iz organizacije ASU SEFCOM
LaunchServices
Dostupno za: macOS Big Sur
Učinak: aplikacija može zaobići provjere alata Gatekeeper
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) iz organizacije SecuRing (wojciechregula.blog)
libxpc
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) i Michael Pearse (Microsoft)
libxpc
Dostupno za: macOS Big Sur
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-32405: Thijs Alkemade (@xnyhps) iz odjela Computest Sector 7
Metal
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obrada 3D modela može dovesti do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2023-32380: Mickey Jin (@patch1t)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obradom 3D modela moglo bi doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32382: Mickey Jin (@patch1t)
NetworkExtension
Dostupno za: macOS Big Sur
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-32403: Adam M.
Unos je ažuriran 21. prosinca 2023.
PackageKit
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Dostupno za: macOS Big Sur
Učinak: raščlanjivanje uredskog dokumenta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljno odabranog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2023-32401: Holger Fuhrmannek (Deutsche Telekom Security GmbH) u ime BSI-ja (njemački državni ured za informacijsku sigurnost)
Unos je dodan 21. prosinca 2023.
Sandbox
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla dobiti pristup datotekama konfiguracije sustava čak i nakon što joj je opozvana dozvola za to
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) i Csaba Fitzl (@theevilbit) (Offensive Security)
Shell
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Dostupno za: macOS Big Sur
Učinak: udaljeni napadači mogo bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32412: Ivan Fratric iz tima Project Zero tvrtke Google
Dodatna zahvala
libxml2
Željeli bismo zahvaliti timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google na pomoći.
Reminders
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Security
Želimo zahvaliti Jamesu Duffyju (mangoSecure) na pomoći.
Wi-Fi
Na pomoći zahvaljujemo Adamu M.
Unos je ažuriran 21. prosinca 2023.
Wi-Fi Connectivity
Na pomoći zahvaljujemo Adamu M.
Unos je ažuriran 21. prosinca 2023.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.