Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Big Sur 11.7.5
Utgitt 27. mars 2023
Apple Neural Engine
Tilgjengelig for: macOS Big Sur
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-26702: en anonym forsker, Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Tilgjengelig for: macOS Big Sur
Virkning: En bruker kan få tilgang til beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Tilgjengelig for: macOS Big Sur
Virkning: Et arkiv kan være i stand til å omgå Gatekeeper
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) fra Red Canary og Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring oppdatert 11. mai 2023
Calendar
Tilgjengelig for: macOS Big Sur
Virkning: Importering av en skadelig kalenderinvitasjon kan eksfiltrere brukerinformasjon
Beskrivelse: Flere valideringsproblemer ble løst gjennom forbedret inndatarensing.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å lese vilkårlige filer
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-27955: JeongOhKyea
CommCenter
Tilgjengelig for: macOS Big Sur
Virkning: En app kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2023-27936: Tingting Yin fra Tsinghua University
dcerpc
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern bruker kan være i stand til å forårsake uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2023-27935: Aleksandar Nikolic fra Cisco Talos
dcerpc
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern bruker kan forårsake uventet systemavslutning eller skadet kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-27953: Aleksandar Nikolic fra Cisco Talos
CVE-2023-27958: Aleksandar Nikolic fra Cisco Talos
Find My
Tilgjengelig for: macOS Big Sur
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-23537: en anonym forsker
FontParser
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en fontfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2023-32366: Ye Zhang (@VAR10CK) fra Baidu Security
Oppføring lagt til 21. desember 2023
Foundation
Tilgjengelig for: macOS Big Sur
Virkning: Parsing av en plist med skadelig utforming kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.
CVE-2023-27937: en anonym forsker
Identity Services
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å få tilgang til informasjon om en brukers kontakter
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-27928: Csaba Fitzl (@theevilbit) fra Offensive Security
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
Tilgjengelig for: macOS Big Sur
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-32378: Murray Mike
Oppføring lagt til 21. desember 2023
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Et problem med lesing utenfor området førte til avdekking av kjerneminnet. Dette ble løst gjennom forbedret validering av inndata.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Oppføring lagt til 11. mai 2023, oppdatert 21. desember 2023
Kernel Tilgjengelig for: macOS Big Sur Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll. CVE-2023-23536: Félix Poulin-Bélanger og David Pan Ogea Oppføring lagt til 11. mai 2023 og oppdatert 21. desember 2023
Kernel Tilgjengelig for: macOS Big Sur Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring. CVE-2023-23514: Xinru Chi fra Pangu Lab og Ned Williamson fra Google Project Zero Kernel Tilgjengelig for: macOS Big Sur Virkning: En app kan avsløre kjerneminne Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata. CVE-2023-28200: Arsenii Kostromin (0x3c3e) Kernel Tilgjengelig for: macOS Big Sur Virkning: En app kan være i stand til å forårsake tjenestenekt Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata. CVE-2023-28185: Pan ZhenPeng (@) fra STAR Labs SG Pte. Ltd. Oppføring lagt til 21. desember 2023
LaunchServices Tilgjengelig for: macOS Big Sur Virkning: En app kan være i stand til å få rotrettigheter Beskrivelse: Et logisk problem ble løst gjennom forbedrede kontroller. CVE-2023-23525: Mickey Jin (@patch1t) Oppføring lagt til 11. mai 2023
libpthread Tilgjengelig for: macOS Big Sur Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll. CVE-2023-41075: Zweig fra Kunlun Lab Oppføring lagt til 21. desember 2023
Mail Tilgjengelig for: macOS Big Sur Virkning: En app kan kanskje se sensitiv brukerinformasjon Beskrivelse: Problemet ble løst gjennom forbedrede kontroller. CVE-2023-28189: Mickey Jin (@patch1t) Oppføring lagt til 11. mai 2023
Messages Tilgjengelig for: macOS Big Sur Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner. CVE-2023-28197: Joshua Jones Oppføring lagt til 21. desember 2023
NetworkExtension Tilgjengelig for: macOS Big Sur Virkning: En bruker i en privilegert nettverksposisjon kan være i stand til å forfalske en VPN-server som er konfigurert med autentisering kun via EAP på en enhet Beskrivelse: Problemet ble løst gjennom forbedret autentisering. CVE-2023-28182: Zhuowei Zhang PackageKit Tilgjengelig for: macOS Big Sur Virkning: En app kan endre beskyttede deler av filsystemet Beskrivelse: Et logisk problem ble løst med forbedrede kontroller. CVE-2023-27962: Mickey Jin (@patch1t) Podcasts Tilgjengelig for: macOS Big Sur Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon Beskrivelse: Problemet ble løst gjennom forbedrede kontroller. CVE-2023-27942: Mickey Jin (@patch1t) Oppføring lagt til 11. mai 2023
System Settings Tilgjengelig for: macOS Big Sur Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer. CVE-2023-23542: Adam M. Oppføring oppdatert 21. desember 2023
System Settings Tilgjengelig for: macOS Big Sur Virkning: En app kan få tilgang til sensitiv stedsinformasjon Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering. CVE-2023-28192: Guilherme Rambo fra Best Buddy Apps (rambo.codes) Vim Tilgjengelig for: macOS Big Sur Virkning: Flere problemer i Vim Beskrivelse: Flere problemer ble løst ved å oppdatere til Vim-versjon 9.0.1191. CVE-2023-0433 CVE-2023-0512 XPC Tilgjengelig for: macOS Big Sur Virkning: En app kan bryte ut av sandkassen Beskrivelse: Dette problemet ble løst med en ny rettighet. CVE-2023-27944: Mickey Jin (@patch1t)
Ytterligere anerkjennelser
Activation Lock
Vi vil gjerne takke Christian Mina for hjelpen.
AppleMobileFileIntegrity
Vi vil gjerne takke Wojciech Reguła (@_r3ggi) fra SecuRing (wojciechregula.blog) for hjelpen.
CoreServices
Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.
NSOpenPanel
Vi vil gjerne takke Alexandre Colucci (@timacfr) for hjelpen.
Wi-Fi
Vi vil gjerne takke en anonym forsker for hjelpen.