A macOS Big Sur 11.7.9 biztonsági változásjegyzéke
Ez a dokumentum a macOS Big Sur 11.7.9 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Big Sur 11.7.9
Kiadási dátum: 2023. július 24.
Accessibility
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-40442: Nick Brook
Bejegyzés hozzáadva 2023. szeptember 8-án.
Apple Neural Engine
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-34425: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Bejegyzés hozzáadva 2023. július 27-én.
AppSandbox
A következőhöz érhető el: macOS Big Sur
Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2023-32364: Kálmán Gergely (@gergely_kalman)
Bejegyzés hozzáadva 2023. július 27-én.
Assets
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-40392: Wojciech Regula (SecuRing; wojciechregula.blog)
Bejegyzés hozzáadva 2023. szeptember 8-án.
CUPS
A következőhöz érhető el: macOS Big Sur
Érintett terület: A magas hálózati jogosultságú felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-34241: Sei K.
Bejegyzés hozzáadva 2023. július 27-én.
curl
A következőhöz érhető el: macOS Big Sur
Érintett terület: Több hiba is fennállt a curl esetén.
Leírás: A curl frissítésével megoldottunk különböző problémákat.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
FontParser
A következőhöz érhető el: macOS Big Sur
Érintett terület: A betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség. Az Apple tisztában van vele, hogy a problémát aktívan kihasználták az iOS 15.7.1 előtt kiadott iOS-verziókban.
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) és Boris Larin (@oct0xor, Kaspersky)
Bejegyzés hozzáadva 2023. szeptember 8-án.
Grapher
A következőhöz érhető el: macOS Big Sur
Érintett terület: A fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-36854: Bool (YunShangHuaAn, 云上华安)
CVE-2023-32418: Bool (YunShangHuaAn, 云上华安)
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy „Use-after-free” (felszabadítás utáni használattal kapcsolatos) problémát.
CVE-2023-32381: anonim kutató
CVE-2023-32433: Zweig (Kunlun Lab)
CVE-2023-35993: Kaitao Xie és Xiaolong Bai (Alibaba Group)
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: A távoli támadó szolgáltatásmegtagadást tudott előidézni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-38603: Zweig (Kunlun Lab)
Bejegyzés hozzáadva 2023. július 27-én.
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: A távoli felhasználók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2023-38590: Zweig (Kunlun Lab)
Bejegyzés hozzáadva 2023. július 27-én.
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy „Use-after-free” (felszabadítás utáni használattal kapcsolatos) problémát.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Bejegyzés hozzáadva 2023. július 27-én.
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Bejegyzés hozzáadva 2023. július 27-én.
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2023-38604: anonim kutató
Bejegyzés hozzáadva 2023. július 27-én.
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat módosítani. Az Apple tisztában van vele, hogy a problémát aktívan kihasználták az iOS 15.7.1 előtt kiadott iOS-verziókban.
Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) és Boris Larin (@oct0xor, Kaspersky)
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14, STAR Labs SG Pte. Ltd.)
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: A távoli támadó szolgáltatásmegtagadást tudott előidézni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-38603: Zweig (Kunlun Lab)
Bejegyzés hozzáadva: 2023. december 22.
libxpc
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2023-38565: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab, xlab.tencent.com)
libxpc
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2023-38593: Noah Roskin-Frazee
Zene
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2023-38571: Kálmán Gergely (@gergely_kalman)
Bejegyzés hozzáadva 2023. július 27-én.
ncurses
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egy támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2023-29491: Jonathan Bar Or (Microsoft), Emanuele Cozzi (Microsoft) és Michael Pearse (Microsoft)
Bejegyzés hozzáadva 2023. szeptember 8-án.
Net-SNMP
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2023-38601: Fitzl Csaba (@theevilbit) (Offensive Security)
Bejegyzés hozzáadva 2023. július 27.
NSSpellChecker
A következőhöz érhető el: macOS Big Sur
Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2023-32444: Mickey Jin (@patch1t)
Bejegyzés hozzáadva 2023. július 27.
OpenLDAP
A következőhöz érhető el: macOS Big Sur
Érintett terület: A távoli támadó szolgáltatásmegtagadást tudott előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-2953: Sandipan Roy
OpenSSH
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak hozzáférni az SSH-jelszavakhoz.
Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.
CVE-2023-42829: James Duffy (mangoSecure)
Bejegyzés hozzáadva: 2023. december 22.
PackageKit
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát.
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2023-42831: James Duffy (mangoSecure)
Bejegyzés hozzáadva: 2023. december 22.
sips
A következőhöz érhető el: macOS Big Sur
Érintett terület: A létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-32443: David Hoyt (Hoyt LLC)
Software Update
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Bejegyzés hozzáadva: 2023. december 22.
SQLite
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Az SQLite-naplózás szigorúbb korlátozásával megoldottuk a problémát.
CVE-2023-32422: Kálmán Gergely (@gergely_kalman) és Wojciech Regula (SecuRing, wojciechregula.blog)
Bejegyzés hozzáadva 2023. szeptember 8-án.
SystemMigration
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-32429: Wenchao Li és Xiaolong Bai (Hangzhou Orange Shield Information Technology Co., Ltd.)
Bejegyzés hozzáadva 2023. július 27-én.
tcpdump
A következőhöz érhető el: macOS Big Sur
Érintett terület: A magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2023-1801
Bejegyzés hozzáadva: 2023. december 22.
Vim
A következőhöz érhető el: macOS Big Sur
Érintett terület: A Vimmel kapcsolatos többféle probléma.
Leírás: Több problémát elhárítottunk a Vim frissítésével.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Bejegyzés hozzáadva: 2023. december 22.
További köszönetnyilvánítás
Köszönjük Parvez Anwar segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.