Informacije o sigurnosnom sadržaju sustava macOS Big Sur 11.7.5

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Big Sur 11.7.5.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Big Sur 11.7.5

Objavljeno 27. ožujka 2023.

Apple Neural Engine

Dostupno za: macOS Big Sur

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-23540: Mohamed GHANNAM (@_simo36)

AppleAVD

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2022-26702: anonimni istraživač, Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

Dostupno za: macOS Big Sur

Učinak: korisnik bi mogao ostvariti pristup zaštićenim dijelovima datotečnog sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-23527: Mickey Jin (@patch1t)

Archive Utility

Dostupno za: macOS Big Sur

Učinak: arhiva bi mogla zaobići alat Gatekeeper

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-27951: Brandon Dalton (@partyD0lphin) (Red Canary) i Csaba Fitzl (@theevilbit) (Offensive Security)

Unos je ažuriran 11. svibnja 2023.

Calendar

Dostupno za: macOS Big Sur

Učinak: uvoz zlonamjerne pozivnice za kalendarski događaj mogao bi izdvojiti korisničke informacije

Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Carbon Core

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-23534: Mickey Jin (@patch1t)

ColorSync

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla čitati proizvoljne datoteke

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-27955: JeongOhKyea

CommCenter

Dostupno za: macOS Big Sur

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-27936: Tingting Yin (Sveučilište Tsinghua)

CoreServices

Dostupno za: macOS Big Sur

Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2023-40398: Mickey Jin (@patch1t)

Unos je dodan 16. srpnja 2024.

dcerpc

Dostupno za: macOS Big Sur

Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)

dcerpc

Dostupno za: macOS Big Sur

Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)

CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)

Find My

Dostupno za: macOS Big Sur

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-23537: anonimni istraživač

FontParser

Dostupno za: macOS Big Sur

Učinak: obradom datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-32366: Ye Zhang (@VAR10CK) (Baidu Security)

Unos je dodan 21. prosinca 2023.

Foundation

Dostupno za: macOS Big Sur

Učinak: raščlanjivanje zlonamjerne plist datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-27937: anonimni istraživač

Identity Services

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-27928: Csaba Fitzl (@theevilbit) (Offensive Security)

ImageIO

Dostupno za: macOS Big Sur

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2023-27946: Mickey Jin (@patch1t)

ImageIO

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-23535: ryuzaki

IOAcceleratorFamily

Dostupno za: macOS Big Sur

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-32378: Murray Mike

Unos je dodan 21. prosinca 2023.

Kernel

Dostupno za: macOS Big Sur

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-27941: Arsenii Kostromin (0x3c3e)

CVE-2023-28199: Arsenii Kostromin (0x3c3e)

Unos je dodan 11. svibnja 2023., a ažuriran 21. prosinca 2023.

Kernel

Dostupno za: macOS Big Sur

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-23536: Félix Poulin-Bélanger i David Pan Ogea

Unos je dodan 11. svibnja 2023., a ažuriran 21. prosinca 2023.

Kernel

Dostupno za: macOS Big Sur

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-23514: Xinru Chi iz tvrtke Pangu Lab i Ned Williamson iz tima Project Zero tvrtke Google

Kernel

Dostupno za: macOS Big Sur

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2023-28200: Arsenii Kostromin (0x3c3e)

Kernel

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.)

Unos je dodan 21. prosinca 2023.

LaunchServices

Dostupno za: macOS Big Sur

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2023-23525: Mickey Jin (@patch1t)

Unos je dodan 11. svibnja 2023.

libpthread

Dostupno za: macOS Big Sur

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2023-41075: Zweig (Kunlun Lab)

Unos je dodan 21. prosinca 2023.

Mail

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla prikazati osjetljive podatke

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-28189: Mickey Jin (@patch1t)

Unos je dodan 11. svibnja 2023.

Messages

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2023-28197: Joshua Jones

Unos je dodan 21. prosinca 2023.

NetworkExtension

Dostupno za: macOS Big Sur

Učinak: korisnik s privilegiranim mrežnim ovlastima mogao bi lažirati VPN poslužitelj koji je konfiguriran uz provjeru autentičnosti samo putem EAP protokola na uređaju

Opis: taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2023-28182: Zhuowei Zhang

PackageKit

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-27962: Mickey Jin (@patch1t)

Podcasts

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-27942: Mickey Jin (@patch1t)

Unos je dodan 11. svibnja 2023.

System Settings

Dostupno za: macOS Big Sur

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-23542: Adam M.

Unos je ažuriran 21. prosinca 2023.

System Settings

Dostupno za: macOS Big Sur

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.

CVE-2023-28192: Guilherme Rambo (Best Buddy Apps) (rambo.codes)

Vim

Dostupno za: macOS Big Sur

Učinak: veći broj problema u programu Vim

Opis: veći broj problema riješen je ažuriranjem na verziju Vim 9.0.1191.

CVE-2023-0433

CVE-2023-0512

XPC

Dostupno za: macOS Big Sur

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen novom ovlasti.

CVE-2023-27944: Mickey Jin (@patch1t)

Dodatna zahvala

Zaključavanje aktivacije

Na pomoći zahvaljujemo Christianu Minau.

AppleMobileFileIntegrity

Željeli bismo zahvaliti Wojciechu Regułi (@_r3ggi) iz tvrtke SecuRing (wojciechregula.blog) na pomoći.

CoreServices

Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).

NSOpenPanel

Na pomoći zahvaljujemo Alexandreu Colucciju (@timacfr).

Wi-Fi

Na pomoći zahvaljujemo anonimnom istraživaču.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: