Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Big Sur 11.7.3
Kiadási dátum: 2023. január 23.
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Megerősített futtatási idővel hárítottuk el a problémát.
CVE-2023-23499: Wojciech Reguła (@_r3ggi, SecuRing; wojciechregula.blog)
curl
A következőhöz érhető el: macOS Big Sur
Érintett terület: Több hiba is fennállt a curl esetén.
Leírás: Több hibát elhárítottunk a curl 7.85.0-s verzióra való frissítésével.
CVE-2022-35252
dcerpc
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott Samba hálózati megosztások tetszőleges programkód végrehajtására adtak lehetőséget.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2023-23513: Dimitrios Tatsis és Aleksandar Nikolic (Cisco Talos)
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-23516: Jordy Zomer (@pwningsystems)
Bejegyzés hozzáadva 2023. május 11-én.
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások a tömörítés során használt átmeneti mappán keresztül hozzá tudtak férni a levelezési mappa csatolmányaihoz.
Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.
CVE-2022-42834: Wojciech Reguła (@_r3ggi, SecuRing)
Bejegyzés hozzáadva 2023. május 11-én.
PackageKit
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-23497: Mickey Jin (@patch1t)
Screen Time
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-23505: Wojciech Regula (SecuRing, wojciechregula.blog) és Fitzl Csaba (@theevilbit, Offensive Security)
Bejegyzés frissítve: 2023. május 11.
TCC
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2023-27931: Mickey Jin (@patch1t)
Bejegyzés hozzáadva 2023. május 11-én.
WebKit
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) és Dohyun Lee (@l33d0hyun; mindannyian: Team ApplePIE)
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) és Dohyun Lee (@l33d0hyun; mindannyian: Team ApplePIE)
Windows Installer
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-23508: Mickey Jin (@patch1t)