Zawartość związana z zabezpieczeniami w systemie macOS Big Sur 11.7.5

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Big Sur 11.7.5.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach mają postać identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Big Sur 11.7.5

Wydano 27 marca 2023 r.

Apple Neural Engine

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-23540: Mohamed GHANNAM (@_simo36)

AppleAVD

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2022-26702: anonimowy badacz, Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Big Sur

Zagrożenie: użytkownik może uzyskać dostęp do chronionych części systemu plików.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-23527: Mickey Jin (@patch1t)

Archive Utility

Dostępne dla: systemu macOS Big Sur

Zagrożenie: archiwum może być zdolne do obejścia zabezpieczenia Gatekeeper.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-27951: Brandon Dalton (@partyD0lphin) z Red Canary i Csaba Fitzl (@theevilbit) z Offensive Security

Wpis uaktualniono 11 maja 2023 r.

Calendar

Dostępne dla: systemu macOS Big Sur

Zagrożenie: zaimportowanie złośliwie spreparowanego zaproszenia do kalendarza może spowodować skryte wyprowadzanie informacji o użytkowniku

Opis: naprawiono wiele błędów sprawdzania poprawności przez poprawienie procesu oczyszczania danych wejściowych.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Carbon Core

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-23534: Mickey Jin (@patch1t)

ColorSync

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie odczytywać arbitralnie wybrane pliki.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-27955: JeongOhKyea

CommCenter

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-27936: Tingting Yin z Tsinghua University

CoreServices

Dostępne dla: systemu macOS Big Sur

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2023-40398: Mickey Jin (@patch1t)

Wpis dodano 16 lipca 2024 r.

dcerpc

Dostępne dla: systemu macOS Big Sur

Zagrożenie: użytkownik zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2023-27935: Aleksandar Nikolic z Cisco Talos

dcerpc

Dostępne dla: systemu macOS Big Sur

Zagrożenie: użytkownik zdalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-27953: Aleksandar Nikolic z Cisco Talos

CVE-2023-27958: Aleksandar Nikolic z Cisco Talos

Find My

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2023-23537: anonimowy badacz

FontParser

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie Pliku czcionki może doprowadzić do wykonania dowolnego kodu

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-32366: Ye Zhang (@VAR10CK) z Baidu Security

Wpis dodano 21 grudnia 2023 r.

Foundation

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przeprowadzenie analizy złośliwie spreparowanego pliku plist może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-27937: anonimowy badacz

Identity Services

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do informacji o kontaktach użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2023-27928: Csaba Fitzl (@theevilbit) z Offensive Security

ImageIO

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2023-27946: Mickey Jin (@patch1t)

ImageIO

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-23535: ryuzaki

IOAcceleratorFamily

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2023-32378: Murray Mike

Wpis dodano 21 grudnia 2023 r.

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-27941: Arsenii Kostromin (0x3c3e)

CVE-2023-28199: Arsenii Kostromin (0x3c3e)

Wpis dodano 11 maja 2023 r., uaktualniono 21 grudnia 2023 r.

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2023-23536: Félix Poulin-Bélanger i David Pan Ogea

Wpis dodano 11 maja 2023 r., uaktualniono 21 grudnia 2023 r.

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2023-23514: Xinru Chi z Pangu Lab i Ned Williamson z Google Project Zero

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2023-28200: Arsenii Kostromin (0x3c3e)

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-28185: Pan ZhenPeng ze STAR Labs SG Pte. Ltd.

Wpis dodano 21 grudnia 2023 r.

LaunchServices

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2023-23525: Mickey Jin (@patch1t)

Wpis dodano 11 maja 2023 r.

libpthread

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.

CVE-2023-41075: Zweig z Kunlun Lab

Wpis dodano 21 grudnia 2023 r.

Mail

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wyświetlić poufne informacje.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-28189: Mickey Jin (@patch1t)

Wpis dodano 11 maja 2023 r.

Messages

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2023-28197: Joshua Jones

Wpis dodano 21 grudnia 2023 r.

NetworkExtension

Dostępne dla: systemu macOS Big Sur

Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie sfałszować serwer VPN skonfigurowany z uwierzytelnianiem obejmującym tylko EAP na urządzeniu.

Opis: ten błąd naprawiono przez ulepszenie uwierzytelniania.

CVE-2023-28182: Zhuowei Zhang

PackageKit

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2023-27962: Mickey Jin (@patch1t)

Podcasts

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-27942: Mickey Jin (@patch1t)

Wpis dodano 11 maja 2023 r.

System Settings

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2023-23542: Adam M.

Wpis uaktualniono 21 grudnia 2023 r.

System Settings

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: usunięto błąd uprawnień przez poprawienie procedury sprawdzania poprawności.

CVE-2023-28192: Guilherme Rambo z Best Buddy Apps (rambo.codes)

Vim

Dostępne dla: systemu macOS Big Sur

Zagrożenie: liczne błędy w aplikacji Vim.

Opis : naprawiono liczne błędy przez uaktualnienie biblioteki Vim do wersji 9.0.1191.

CVE-2023-0433

CVE-2023-0512

Usługi XPC

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono za pomocą nowego uprawnienia.

CVE-2023-27944: Mickey Jin (@patch1t)

Dodatkowe podziękowania

Blokada aktywacji

Dziękujemy za udzieloną pomoc: Christian Mina.

AppleMobileFileIntegrity

Dziękujemy za udzieloną pomoc: Wojciech Reguła (@_r3ggi) z SecuRing (wojciechregula.blog).

CoreServices

Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).

NSOpenPanel

Dziękujemy za udzieloną pomoc: Alexandre Colucci (@timacfr).

Wi-Fi

Dziękujemy anonimowemu badaczowi za pomoc.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: