Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Big Sur 11.7.7
Utgitt 18. mai 2023
Accessibility
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan sette inn kode i sensitive binærfiler som er pakket med Xcode
Beskrivelse: Dette problemet ble løst ved å fremtvinge Hardened Runtime på de påvirkede binærfilene på systemnivå.
CVE-2023-32383: James Duffy (mangoSecure)
Oppføring lagt til 21. desember 2023
Contacts
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å observere ubeskyttede brukerdata
Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av midlertidige filer.
CVE-2023-32386: Kirin (@Pwnrin)
CoreCapture
Tilgjengelig for: macOS Big Sur
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-28181: Tingting Yin fra Tsinghua University
CUPS
Tilgjengelig for: macOS Big Sur
Virkning: En uautorisert bruker kan kanskje få tilgang til nylig utskrevne dokumenter
Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-32360: Gerhard Muth
dcerpc
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan være i stand til å forårsake uventet appavslutning eller utilsiktet kodekjøring
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-32387: Dimitrios Tatsis fra Cisco Talos
Dev Tools
Tilgjengelig for: macOS Big Sur
Virkning: En app som kjøres i sandkasse kan kanskje samle inn systemlogger
Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Tilgjengelig for: macOS Big Sur
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-32392: Adam M.
Oppføring oppdatert 21. desember 2023
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et bilde kan føre til utilsiktet kodekjøring
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm i samarbeid med Trend Micro Zero Day Initiative
IOSurface
Tilgjengelig for: macOS Big Sur
Virkning: En app kan lekke sensitiv kjernetilstand
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) fra Synacktiv (@Synacktiv) i samarbeid med Trend Micro Zero Day Initiative
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-32398: Adam Doupé fra ASU SEFCOM
LaunchServices
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan omgå Gatekeeper-kontroller
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) fra SecuRing (wojciechregula.blog)
libxpc
Tilgjengelig for: macOS Big Sur
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-32369: Jonathan Bar Or fra Microsoft, Anurag Bohra fra Microsoft og Michael Pearse fra Microsoft
libxpc
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-32405: Thijs Alkemade (@xnyhps) fra Computest Sector 7
Metal
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en 3D-modell kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-32380: Mickey Jin (@patch1t)
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en 3D-modell kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2023-32382: Mickey Jin (@patch1t)
NetworkExtension
Tilgjengelig for: macOS Big Sur
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Dette problemet ble løst med forbedret sladding av sensitiv informasjon.
CVE-2023-32403: Adam M.
Oppføring oppdatert 21. desember 2023
PackageKit
Tilgjengelig for: macOS Big Sur
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Tilgjengelig for: macOS Big Sur
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Tilgjengelig for: macOS Big Sur
Virkning: Parsing av en fil kan føre til en uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-32401: Holger Fuhrmannek fra Deutsche Telekom Security GmbH på vegne av BSI (German Federal Office for Information Security)
Oppføring lagt til 21. desember 2023
Sandbox
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å beholde tilgangen til systemets konfigurasjonsfiler selv om tillatelsen er opphevet
Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa fra FFRI Security, Inc., Kirin (@Pwnrin) og Csaba Fitzl (@theevilbit) fra Offensive Security
Shell
Tilgjengelig for: macOS Big Sur
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan være i stand til å forårsake uventet appavslutning eller utilsiktet kodekjøring
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-32412: Ivan Fratric fra Google Project Zero
Ytterligere anerkjennelser
libxml2
Vi vil gjerne takke OSS-Fuzz, Ned Williamson fra Google Project Zero for hjelpen.
Reminders
Vi vil gjerne takke Kirin (@Pwnrin) for hjelpen.
Security
Vi vil gjerne takke James Duffy (mangoSecure) for hjelpen.
Wi-Fi
Vi vil gjerne takke Adam M. for hjelpen.
Oppføring oppdatert 21. desember 2023
Wi-Fi Connectivity
Vi vil gjerne takke Adam M. for hjelpen.
Oppføring oppdatert 21. desember 2023