A macOS Big Sur 11.7.7 biztonsági változásjegyzéke
Ez a dokumentum a macOS Big Sur 11.7.7 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Big Sur 11.7.7
Kiadási dátum: 2023. május 18.
Accessibility
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: A bizalmas információk hatékonyabb kitakarásával hárítottuk el a problémát.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Big Sur
Érintett terület: Bizonyos alkalmazások kódot tudtak injektálni az Xcode-hoz csatolt érzékeny bináris fájlokhoz.
Leírás: Ezt a problémát úgy oldottuk meg, hogy a rendszer szintjén megerősített védelmű futtatókörnyezetet vezettünk be az érintett bináris fájlokhoz.
CVE-2023-32383: James Duffy (mangoSecure)
Bejegyzés hozzáadva: 2023. december 21.
Contacts
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások meg tudták figyelni a védelem nélküli felhasználói adatokat.
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2023-32386: Kirin (@Pwnrin)
CoreCapture
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-28181: Tingting Yin (Tsinghua University)
CUPS
A következőhöz érhető el: macOS Big Sur
Érintett terület: Bizonyos esetekben a nem hitelesített felhasználók is hozzá tudtak férni a közelmúltban kinyomtatott dokumentumokhoz.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.
CVE-2023-32360: Gerhard Muth
dcerpc
A következőhöz érhető el: macOS Big Sur
Érintett terület: A távoli támadók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
CVE-2023-32387: Dimitrios Tatsis (Cisco Talos)
Dev Tools
A következőhöz érhető el: macOS Big Sur
Érintett terület: Bizonyos esetekben a tesztkörnyezetben futó alkalmazások is tudtak rendszernaplókat gyűjteni.
Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-32392: Adam M.
Bejegyzés frissítve: 2023. december 21.
ImageIO
A következőhöz érhető el: macOS Big Sur
Érintett terület: A képek feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
IOSurface
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv – @Synacktiv), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy „Use-after-free” (felszabadítás utáni használattal kapcsolatos) problémát.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
LaunchServices
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2023-32352: Wojciech Reguła (@_r3ggi, SecuRing) (wojciechregula.blog)
libxpc
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) és Michael Pearse (Microsoft)
libxpc
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2023-32405: Thijs Alkemade (@xnyhps, Computest Sector 7)
Metal
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-32407: Kalman Gergely (@gergely_kalman)
Model I/O
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy a 3D-s modellek feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2023-32380: Mickey Jin (@patch1t)
Model I/O
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy a 3D-s modellek feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-32382: Mickey Jin (@patch1t)
NetworkExtension
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2023-32403: Adam M.
Bejegyzés frissítve: 2023. december 21.
PackageKit
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az Office-dokumentumok elemzése váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2023-32401: Holger Fuhrmannek (Deutsche Telekom Security GmbH) a BSI (Német Szövetségi Információbiztonsági Hivatal) megbízásából
Bejegyzés hozzáadva: 2023. december 21.
Sandbox
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok bizonyos esetekben a jogosultságok visszavonását követően is meg tudták őrizni a hozzáférést a rendszer-konfigurációs fájlokhoz.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) és Fitzl Csaba (@theevilbit, Offensive Security)
Shell
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
A következőhöz érhető el: macOS Big Sur
Érintett terület: A távoli támadók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
További köszönetnyilvánítás
libxml2
Köszönjük OSS-Fuzz, Ned Williamson (Google Project Zero) segítségét.
Reminders
Köszönjük Kirin (@Pwnrin) segítségét.
Security
Szeretnénk megköszönni James Duffy (mangoSecure) segítségét.
Wi-Fi
Köszönjük Adam M. segítségét.
Bejegyzés frissítve: 2023. december 21.
Wi-Fi Connectivity
Köszönjük Adam M. segítségét.
Bejegyzés frissítve: 2023. december 21.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.