Informacije o sigurnosnom sadržaju sustava macOS Big Sur 11.7.7

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Big Sur 11.7.7.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Big Sur 11.7.7

Accessibility

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-32388: Kirin (@Pwnrin)

AppleEvents

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-28191: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2023-32411: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupno za: macOS Big Sur

Učinak: aplikacija može umetnuti kod u osjetljive binarne datoteke u paketu s alatima Xcode

Opis: problem je riješen primjenom dodatnog osiguranja pokretanja na zahvaćenim binarnim datotekama na razini sustava.

CVE-2023-32383: James Duffy (mangoSecure)

Unos je dodan 21. prosinca 2023.

Contacts

Dostupno za: macOS Big Sur

Učinak: aplikacija može vidjeti nezaštićene korisničke podatke

Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.

CVE-2023-32386: Kirin (@Pwnrin)

CoreCapture

Dostupno za: macOS Big Sur

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-28181: Tingting Yin (Sveučilište Tsinghua)

CUPS

Dostupno za: macOS Big Sur

Učinak: korisnik kojem nije provjerena autentičnost mogao bi pristupati nedavno ispisanim dokumentima

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32360: Gerhard Muth

dcerpc

Dostupno za: macOS Big Sur

Učinak: udaljeni napadači mogo bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-32387: Dimitrios Tatsis iz tvrtke Cisco Talos

Dev Tools

Dostupno za: macOS Big Sur

Učinak: aplikacija u zaštićenom okruženju može prikupiti zapisnike sustava

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2023-27945: Mickey Jin (@patch1t)

GeoServices

Dostupno za: macOS Big Sur

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-32392: Adam M.

Unos je ažuriran 21. prosinca 2023.

ImageIO

Dostupno za: macOS Big Sur

Učinak; obrada slike mogla bi izazvati izvršavanje proizvoljnog koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro

IOSurface

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-32410: hou xuewei (@p1ay8y3ar) (vmk msu)

Kernel

Dostupno za: macOS Big Sur

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) iz tvrtke Synacktiv (@Synacktiv) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro

Kernel

Dostupno za: macOS Big Sur

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-32398: Adam Doupé iz organizacije ASU SEFCOM

LaunchServices

Dostupno za: macOS Big Sur

Učinak: aplikacija može zaobići provjere alata Gatekeeper

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) iz organizacije SecuRing (wojciechregula.blog)

libxpc

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) i Michael Pearse (Microsoft)

libxpc

Dostupno za: macOS Big Sur

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-32405: Thijs Alkemade (@xnyhps) iz odjela Computest Sector 7

Metal

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Dostupno za: macOS Big Sur

Učinak: obrada 3D modela može dovesti do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2023-32380: Mickey Jin (@patch1t)

Model I/O

Dostupno za: macOS Big Sur

Učinak: obradom 3D modela moglo bi doći do otkrivanja procesne memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-32382: Mickey Jin (@patch1t)

NetworkExtension

Dostupno za: macOS Big Sur

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-32403: Adam M.

Unos je ažuriran 21. prosinca 2023.

PackageKit

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32355: Mickey Jin (@patch1t)

Perl

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32395: Arsenii Kostromin (0x3c3e)

Quick Look

Dostupno za: macOS Big Sur

Učinak: raščlanjivanje uredskog dokumenta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljno odabranog koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2023-32401: Holger Fuhrmannek (Deutsche Telekom Security GmbH) u ime BSI-ja (njemački državni ured za informacijsku sigurnost)

Unos je dodan 21. prosinca 2023.

Sandbox

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla dobiti pristup datotekama konfiguracije sustava čak i nakon što joj je opozvana dozvola za to

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) i Csaba Fitzl (@theevilbit) (Offensive Security)

Shell

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Telephony

Dostupno za: macOS Big Sur

Učinak: udaljeni napadači mogo bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-32412: Ivan Fratric iz tima Project Zero tvrtke Google

Dodatna zahvala

libxml2

Željeli bismo zahvaliti timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google na pomoći.

Reminders

Zahvaljujemo Kirinu (@Pwnrin) na pomoći.

Security

Želimo zahvaliti Jamesu Duffyju (mangoSecure) na pomoći.

Wi-Fi

Na pomoći zahvaljujemo Adamu M.

Unos je ažuriran 21. prosinca 2023.

Wi-Fi Connectivity

Na pomoći zahvaljujemo Adamu M.

Unos je ažuriran 21. prosinca 2023.