Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Big Sur 11.7.5
Kiadás dátuma: 2023. március 27.
Apple Neural Engine
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2022-26702: anonim kutató, Antonio Zekic (@antoniozekic) és John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Big Sur
Érintett terület: A felhasználók hozzáférést szerezhettek a fájlrendszer védett részeihez.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes archívumok bizonyos körülmények között meg tudták kerülni a Gatekeepert.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-27951: Brandon Dalton (@partyD0lphin, Red Canary) és Fitzl Csaba (@theevilbit, Offensive Security)
Bejegyzés frissítve: 2023. május 11.
Calendar
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott naptármeghívók importálása felhasználói adatok kiszivárgásához vezethetett.
Leírás: Hatékonyabb beviteltisztítással elhárítottunk több érvényesítési hibát.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-27955: JeongOhKyea
CommCenter
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2023-27936: Tingting Yin (Tsinghua University)
dcerpc
A következőhöz érhető el: macOS Big Sur
Érintett terület: A távoli felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)
dcerpc
A következőhöz érhető el: macOS Big Sur
Érintett terület: A távoli felhasználók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)
CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)
Find My
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-23537: anonim kutató
FontParser
A következőhöz érhető el: macOS Big Sur
Érintett terület: A betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2023-32366: Ye Zhang (@VAR10CK; Baidu Security)
Bejegyzés hozzáadva: 2023. december 21.
Foundation
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott plist elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.
CVE-2023-27937: anonim kutató
Identity Services
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-27928: Fitzl Csaba (@theevilbit; Offensive Security)
ImageIO
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy „Use-after-free” (felszabadítás utáni használattal kapcsolatos) problémát.
CVE-2023-32378: Murray Mike
Bejegyzés hozzáadva: 2023. december 21.
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Egy határértéken kívüli olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Bejegyzés hozzáadva: 2023. május 11., frissítve: 2023. december 21.
Kernel A következőhöz érhető el: macOS Big Sur Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát. CVE-2023-23536: Félix Poulin-Bélanger és David Pan Ogea Bejegyzés hozzáadva: 2023. május 11., frissítve: 2023. december 21.
Kernel A következőhöz érhető el: macOS Big Sur Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát. CVE-2023-23514: Xinru Chi (Pangu Lab) és Ned Williamson (Google Project Zero) Kernel A következőhöz érhető el: macOS Big Sur Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát. CVE-2023-28200: Arsenii Kostromin (0x3c3e) Kernel A következőhöz érhető el: macOS Big Sur Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni. Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát. CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte. Ltd.) Bejegyzés hozzáadva: 2023. december 21.
LaunchServices A következőhöz érhető el: macOS Big Sur Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát. CVE-2023-23525: Mickey Jin (@patch1t) Bejegyzés hozzáadva 2023. május 11-én.
libpthread A következőhöz érhető el: macOS Big Sur Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát. CVE-2023-41075: Zweig (Kunlun Lab) Bejegyzés hozzáadva: 2023. december 21.
Mail A következőhöz érhető el: macOS Big Sur Érintett terület: Egyes alkalmazások bizalmas információkhoz fértek hozzá. Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát. CVE-2023-28189: Mickey Jin (@patch1t) Bejegyzés hozzáadva 2023. május 11-én.
Messages A következőhöz érhető el: macOS Big Sur Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát. CVE-2023-28197: Joshua Jones Bejegyzés hozzáadva: 2023. december 21.
NetworkExtension A következőhöz érhető el: macOS Big Sur Érintett terület: A hálózaton kiemelt jogosultsággal rendelkező felhasználók bizonyos esetekben meg tudták hamisítani az identitását egy olyan VPN-szervernek, amelyet EAP-only hitelesítéssel konfiguráltak a készüléken. Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát. CVE-2023-28182: Zhuowei Zhang PackageKit A következőhöz érhető el: macOS Big Sur Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát. CVE-2023-27962: Mickey Jin (@patch1t) Podcasts A következőhöz érhető el: macOS Big Sur Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát. CVE-2023-27942: Mickey Jin (@patch1t) Bejegyzés hozzáadva 2023. május 11-én.
System Settings A következőhöz érhető el: macOS Big Sur Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát. CVE-2023-23542: Adam M. Bejegyzés frissítve: 2023. december 21.
System Settings A következőhöz érhető el: macOS Big Sur Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat Leírás: Hatékonyabb érvényesség-ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát. CVE-2023-28192: Guilherme Rambo (Best Buddy Apps, rambo.codes) Vim A következőhöz érhető el: macOS Big Sur Érintett terület: A Vimmel kapcsolatos többféle probléma. Leírás: Több hibát elhárítottunk a Vim 9.0.1191-es verziójára való frissítéssel. CVE-2023-0433 CVE-2023-0512 XPC A következőhöz érhető el: macOS Big Sur Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból Leírás: Egy új jogosultság bevezetésével hárítottuk el a problémát. CVE-2023-27944: Mickey Jin (@patch1t)
További köszönetnyilvánítás
Activation Lock
Köszönjük Christian Mina segítségét.
AppleMobileFileIntegrity
Köszönjük Wojciech Reguła (@_r3ggi; SecuRing, wojciechregula.blog) segítségét.
CoreServices
Köszönjük Mickey Jin (@patch1t) segítségét.
NSOpenPanel
Köszönjük Alexandre Colucci (@timacfr) segítségét.
Wi-Fi
Köszönjük egy anonim kutató segítségét.