Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Big Sur 11.7.7
Kiadási dátum: 2023. május 18.
Accessibility
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: A bizalmas információk hatékonyabb kitakarásával hárítottuk el a problémát.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Big Sur
Érintett terület: Bizonyos alkalmazások kódot tudtak injektálni az Xcode-hoz csatolt érzékeny bináris fájlokhoz.
Leírás: Ezt a problémát úgy oldottuk meg, hogy a rendszer szintjén megerősített védelmű futtatókörnyezetet vezettünk be az érintett bináris fájlokhoz.
CVE-2023-32383: James Duffy (mangoSecure)
Bejegyzés hozzáadva: 2023. december 21.
Contacts
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások meg tudták figyelni a védelem nélküli felhasználói adatokat.
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2023-32386: Kirin (@Pwnrin)
CoreCapture
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-28181: Tingting Yin (Tsinghua University)
CUPS
A következőhöz érhető el: macOS Big Sur
Érintett terület: Bizonyos esetekben a nem hitelesített felhasználók is hozzá tudtak férni a közelmúltban kinyomtatott dokumentumokhoz.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.
CVE-2023-32360: Gerhard Muth
dcerpc
A következőhöz érhető el: macOS Big Sur
Érintett terület: A távoli támadók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy „Use-after-free” (felszabadítás utáni használattal kapcsolatos) problémát.
CVE-2023-32387: Dimitrios Tatsis (Cisco Talos)
Dev Tools
A következőhöz érhető el: macOS Big Sur
Érintett terület: Bizonyos esetekben a tesztkörnyezetben futó alkalmazások is tudtak rendszernaplókat gyűjteni.
Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-32392: Adam M.
Bejegyzés frissítve: 2023. december 21.
ImageIO
A következőhöz érhető el: macOS Big Sur
Érintett terület: A képek feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
IOSurface
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv – @Synacktiv), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy „Use-after-free” (felszabadítás utáni használattal kapcsolatos) problémát.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
LaunchServices
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2023-32352: Wojciech Reguła (@_r3ggi, SecuRing) (wojciechregula.blog)
libxpc
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) és Michael Pearse (Microsoft)
libxpc
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2023-32405: Thijs Alkemade (@xnyhps, Computest Sector 7)
Metal
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-32407: Kalman Gergely (@gergely_kalman)
Model I/O
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy a 3D-s modellek feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2023-32380: Mickey Jin (@patch1t)
Model I/O
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy a 3D-s modellek feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-32382: Mickey Jin (@patch1t)
NetworkExtension
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A bizalmas információk hatékonyabb kitakarásával hárítottuk el a problémát.
CVE-2023-32403: Adam M.
Bejegyzés frissítve: 2023. december 21.
PackageKit
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az Office-dokumentumok elemzése váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2023-32401: Holger Fuhrmannek (Deutsche Telekom Security GmbH) a BSI (Német Szövetségi Információbiztonsági Hivatal) megbízásából
Bejegyzés hozzáadva: 2023. december 21.
Sandbox
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok bizonyos esetekben a jogosultságok visszavonását követően is meg tudták őrizni a hozzáférést a rendszer-konfigurációs fájlokhoz.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) és Fitzl Csaba (@theevilbit, Offensive Security)
Shell
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
A következőhöz érhető el: macOS Big Sur
Érintett terület: A távoli támadók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy „Use-after-free” (felszabadítás utáni használattal kapcsolatos) problémát.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
További köszönetnyilvánítás
libxml2
Köszönjük OSS-Fuzz, Ned Williamson (Google Project Zero) segítségét.
Reminders
Köszönjük Kirin (@Pwnrin) segítségét.
Security
Szeretnénk megköszönni James Duffy (mangoSecure) segítségét.
Wi-Fi
Köszönjük Adam M. segítségét.
Bejegyzés frissítve: 2023. december 21.
Wi-Fi Connectivity
Köszönjük Adam M. segítségét.
Bejegyzés frissítve: 2023. december 21.