Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Big Sur 11.7.5
Objavljeno 27. ožujka 2023.
Apple Neural Engine
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-26702: anonimni istraživač, Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Dostupno za: macOS Big Sur
Učinak: korisnik bi mogao ostvariti pristup zaštićenim dijelovima datotečnog sustava
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Dostupno za: macOS Big Sur
Učinak: arhiva bi mogla zaobići alat Gatekeeper
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) iz tvrtke Red Canary i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Unos je ažuriran 11. svibnja 2023.
Calendar
Dostupno za: macOS Big Sur
Učinak: uvoz zlonamjerne pozivnice za kalendarski događaj mogao bi izdvojiti korisničke informacije
Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-27955: JeongOhKyea
CommCenter
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27936: Tingting Yin (Sveučilište Tsinghua)
dcerpc
Dostupno za: macOS Big Sur
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)
dcerpc
Dostupno za: macOS Big Sur
Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)
CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)
Find My
Dostupno za: macOS Big Sur
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-23537: anonimni istraživač
FontParser
Dostupno za: macOS Big Sur
Učinak: obradom datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32366: Ye Zhang (@VAR10CK) (Baidu Security)
Unos je dodan 21. prosinca 2023.
Foundation
Dostupno za: macOS Big Sur
Učinak: raščlanjivanje zlonamjerne plist datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27937: anonimni istraživač
Identity Services
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-27928: Csaba Fitzl (@theevilbit) (Offensive Security)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32378: Murray Mike
Unos je dodan 21. prosinca 2023.
Kernel
Dostupno za: macOS Big Sur
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Unos je dodan 11. svibnja 2023., a ažuriran 21. prosinca 2023.
Kernel Dostupno za: macOS Big Sur Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti Opis: problem je riješen poboljšanim provjerama ograničenja. CVE-2023-23536: Félix Poulin-Bélanger i David Pan Ogea Unos je dodan 11. svibnja 2023., a ažuriran 21. prosinca 2023.
Kernel Dostupno za: macOS Big Sur Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom. CVE-2023-23514: Xinru Chi iz tvrtke Pangu Lab i Ned Williamson iz tima Project Zero tvrtke Google Kernel Dostupno za: macOS Big Sur Učinak: aplikacije su mogle izložiti kernelsku memoriju Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka. CVE-2023-28200: Arsenii Kostromin (0x3c3e) Kernel Dostupno za: macOS Big Sur Učinak: aplikacija bi mogla uzrokovati odbijanje usluge Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka. CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.) Unos je dodan 21. prosinca 2023.
LaunchServices Dostupno za: macOS Big Sur Učinak: aplikacije bi mogle dobiti korijenske ovlasti Opis: taj je problem riješen poboljšanim provjerama. CVE-2023-23525: Mickey Jin (@patch1t) Unos je dodan 11. svibnja 2023.
libpthread Dostupno za: macOS Big Sur Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama. CVE-2023-41075: Zweig (Kunlun Lab) Unos je dodan 21. prosinca 2023.
Mail Dostupno za: macOS Big Sur Učinak: aplikacija bi mogla prikazati osjetljive podatke Opis: problem je riješen poboljšanim provjerama. CVE-2023-28189: Mickey Jin (@patch1t) Unos je dodan 11. svibnja 2023.
Messages Dostupno za: macOS Big Sur Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje. CVE-2023-28197: Joshua Jones Unos je dodan 21. prosinca 2023.
NetworkExtension Dostupno za: macOS Big Sur Učinak: korisnik s privilegiranim mrežnim ovlastima mogao bi lažirati VPN poslužitelj koji je konfiguriran uz provjeru autentičnosti samo putem EAP protokola na uređaju Opis: taj je problem riješen poboljšanom provjerom autentičnosti. CVE-2023-28182: Zhuowei Zhang PackageKit Dostupno za: macOS Big Sur Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava Opis: logički problem riješen je poboljšanim provjerama. CVE-2023-27962: Mickey Jin (@patch1t) Podcasti Dostupno za: macOS Big Sur Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima Opis: problem je riješen poboljšanim provjerama. CVE-2023-27942: Mickey Jin (@patch1t) Unos je dodan 11. svibnja 2023.
System Settings Dostupno za: macOS Big Sur Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa. CVE-2023-23542: Adam M. Unos je ažuriran 21. prosinca 2023.
System Settings Dostupno za: macOS Big Sur Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti. CVE-2023-28192: Guilherme Rambo (Best Buddy Apps) (rambo.codes) Vim Dostupno za: macOS Big Sur Učinak: veći broj problema u programu Vim Opis: veći broj problema riješen je ažuriranjem na verziju Vim 9.0.1191. CVE-2023-0433 CVE-2023-0512 XPC Dostupno za: macOS Big Sur Učinak: aplikacije bi mogle izaći izvan ograničene memorije Opis: problem je riješen novom ovlasti. CVE-2023-27944: Mickey Jin (@patch1t)
Dodatna zahvala
Activation Lock
Na pomoći zahvaljujemo Christianu Minau.
AppleMobileFileIntegrity
Željeli bismo zahvaliti Wojciechu Regułi (@_r3ggi) iz tvrtke SecuRing (wojciechregula.blog) na pomoći.
CoreServices
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
NSOpenPanel
Na pomoći zahvaljujemo Alexandreu Colucciju (@timacfr).
Wi-Fi
Na pomoći zahvaljujemo anonimnom istraživaču.