Om sikkerhetsinnholdet i macOS Big Sur 11.7.5

I dette dokumentet beskrives sikkerhetsinnholdet i macOS Big Sur 11.7.5.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter med CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

macOS Big Sur 11.7.5

Apple Neural Engine

Tilgjengelig for: macOS Big Sur

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-23540: Mohamed GHANNAM (@_simo36)

AppleAVD

Tilgjengelig for: macOS Big Sur

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2022-26702: en anonym forsker, Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

Tilgjengelig for: macOS Big Sur

Virkning: Et programtillegg kan arve apptillatelser og få tilgang til brukerdata

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-28207: Wojciech Reguła (@_r3ggi) fra SecuRing

AppleMobileFileIntegrity

Tilgjengelig for: macOS Big Sur

Virkning: En bruker kan få tilgang til beskyttede deler av filsystemet

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-23527: Mickey Jin (@patch1t)

Archive Utility

Tilgjengelig for: macOS Big Sur

Virkning: Et arkiv kan omgå Gatekeeper

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-27951: Brandon Dalton (@partyD0lphin) fra Red Canary og Csaba Fitzl (@theevilbit) fra Offensive Security

Calendar

Tilgjengelig for: macOS Big Sur

Virkning: Importering av en skadelig kalenderinvitasjon kan eksfiltrere brukerinformasjon

Beskrivelse: Flere valideringsproblemer ble løst gjennom forbedret inndatarensing.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Carbon Core

Tilgjengelig for: macOS Big Sur

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-23534: Mickey Jin (@patch1t)

ColorSync

Tilgjengelig for: macOS Big Sur

Virkning: En app kan utilsiktet lese filer

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-27955: JeongOhKyea

CommCenter

Tilgjengelig for: macOS Big Sur

Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2023-27936: Tingting Yin fra Tsinghua University

CoreServices

Tilgjengelig for: macOS Big Sur

Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-40398: Mickey Jin (@patch1t)

dcerpc

Tilgjengelig for: macOS Big Sur

Virkning: En ekstern bruker kan være i stand til å forårsake uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2023-27935: Aleksandar Nikolic fra Cisco Talos

dcerpc

Tilgjengelig for: macOS Big Sur

Virkning: En ekstern bruker kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-27953: Aleksandar Nikolic fra Cisco Talos

CVE-2023-27958: Aleksandar Nikolic fra Cisco Talos

Find My

Tilgjengelig for: macOS Big Sur

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2023-23537: en anonym forsker

FontParser

Tilgjengelig for: macOS Big Sur

Virkning: Behandling av en fontfil kan føre til utilsiktet kodekjøring

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2023-32366: Ye Zhang (@VAR10CK) fra Baidu Security

Foundation

Tilgjengelig for: macOS Big Sur

Virkning: Analyse av en plist med skadelig utforming kan føre til uventet appavslutning eller utilsiktet kodekjøring

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2023-27937: en anonym forsker

Identity Services

Tilgjengelig for: macOS Big Sur

Virkning: En app kan få tilgang til informasjon om en brukers kontakter

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2023-27928: Csaba Fitzl (@theevilbit) fra Offensive Security

ImageIO

Tilgjengelig for: macOS Big Sur

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2023-27946: Mickey Jin (@patch1t)

ImageIO

Tilgjengelig for: macOS Big Sur

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-23535: ryuzaki

IOAcceleratorFamily

Tilgjengelig for: macOS Big Sur

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2023-32378: Murray Mike

Kernel

Tilgjengelig for: macOS Big Sur

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Et problem med lesing utenfor området førte til avdekking av kjerneminnet. Dette ble løst gjennom forbedret validering av inndata.

CVE-2023-27941: Arsenii Kostromin (0x3c3e)

CVE-2023-28199: Arsenii Kostromin (0x3c3e)

Kernel

Tilgjengelig for: macOS Big Sur

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret grenseverdikontroll.

CVE-2023-23536: Félix Poulin-Bélanger og David Pan Ogea

Kernel

Tilgjengelig for: macOS Big Sur

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2023-23514: Xinru Chi fra Pangu Lab og Ned Williamson fra Google Project Zero

Kernel

Tilgjengelig for: macOS Big Sur

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2023-28200: Arsenii Kostromin (0x3c3e)

Kernel

Tilgjengelig for: macOS Big Sur

Virkning: En app kan forårsake tjenestenekt

Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.

CVE-2023-28185: Pan ZhenPeng (@) fra STAR Labs SG Pte. Ltd.

LaunchServices

Tilgjengelig for: macOS Big Sur

Virkning: En app kan være i stand til å få rotrettigheter

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-23525: Mickey Jin (@patch1t)

libpthread

Tilgjengelig for: macOS Big Sur

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2023-41075: Zweig fra Kunlun Lab

Mail

Tilgjengelig for: macOS Big Sur

Virkning: En app kan kanskje se sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-28189: Mickey Jin (@patch1t)

Messages

Tilgjengelig for: macOS Big Sur

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.

CVE-2023-28197: Joshua Jones

NetworkExtension

Tilgjengelig for: macOS Big Sur

Virkning: En bruker i en privilegert nettverksposisjon kan forfalske en VPN-server som er konfigurert med autentisering kun via EAP på en enhet

Beskrivelse: Problemet ble løst gjennom forbedret autentisering.

CVE-2023-28182: Zhuowei Zhang

PackageKit

Tilgjengelig for: macOS Big Sur

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2023-27962: Mickey Jin (@patch1t)

Podcasts

Tilgjengelig for: macOS Big Sur

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-27942: Mickey Jin (@patch1t)

System Settings

Tilgjengelig for: macOS Big Sur

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2023-23542: Adam M.

System Settings

Tilgjengelig for: macOS Big Sur

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering.

CVE-2023-28192: Guilherme Rambo fra Best Buddy Apps (rambo.codes)

Vim

Tilgjengelig for: macOS Big Sur

Virkning: Flere problemer i Vim

Beskrivelse: Flere problemer ble løst ved å oppdatere til Vim-versjon 9.0.1191.

CVE-2023-0433

CVE-2023-0512

XPC

Tilgjengelig for: macOS Big Sur

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Dette problemet ble løst med en ny rettighet.

CVE-2023-27944: Mickey Jin (@patch1t)

Ytterligere anerkjennelser

Activation Lock

Vi vil gjerne takke Christian Mina for hjelpen.

CoreServices

Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.

NSOpenPanel

Vi vil gjerne takke Alexandre Colucci (@timacfr) for hjelpen.

Wi-Fi

Vi vil gjerne takke en anonym forsker for hjelpen.