Zawartość związana z zabezpieczeniami w systemie macOS Big Sur 11.7.9
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Big Sur 11.7.9.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
macOS Big Sur 11.7.9
Wydano 24 lipca 2023 r.
Accessibility
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-40442: Nick Brook
Wpis dodano 8 września 2023 r.
Apple Neural Engine
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-34425: pattern-f (@pattern_F_) z Ant Security Light-Year Lab
Wpis dodano 27 lipca 2023 r.
AppSandbox
Dostępne dla: systemu macOS Big Sur
Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Wpis dodano 27 lipca 2023 r.
Assets
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: ten błąd naprawiono przez ulepszenie ochrony danych.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-40392: Wojciech Reguła z SecuRing (wojciechregula.blog)
Wpis dodano 8 września 2023 r.
CUPS
Dostępne dla: systemu macOS Big Sur
Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie ujawnić poufne informacje.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2023-34241: Sei K.
Wpis dodano 27 lipca 2023 r.
curl
Dostępne dla: systemu macOS Big Sur
Zagrożenie: wiele błędów w komponentach curl.
Opis: naprawiono liczne błędy przez uaktualnienie komponentów curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
FontParser
Dostępne dla: systemu macOS Big Sur
Zagrożenie: przetworzenie Pliku czcionki może doprowadzić do wykonania dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.7.1.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) z Kaspersky
Wpis dodano 8 września 2023 r.
Grapher
Dostępne dla: systemu macOS Big Sur
Zagrożenie: przetworzenie pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-36854: Bool z YunShangHuaAn(云上华安)
CVE-2023-32418: Bool z YunShangHuaAn(云上华安)
Kernel
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
CVE-2023-32381: anonimowy badacz
CVE-2023-32433: Zweig z Kunlun Lab
CVE-2023-35993: Kaitao Xie i Xiaolong Bai z Alibaba Group
Kernel
Dostępne dla: systemu macOS Big Sur
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-38603: Zweig z Kunlun Lab
Wpis dodano 27 lipca 2023 r.
Kernel
Dostępne dla: systemu macOS Big Sur
Zagrożenie: użytkownik zdalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2023-38590: Zweig z Kunlun Lab
Wpis dodano 27 lipca 2023 r.
Kernel
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Wpis dodano 27 lipca 2023 r.
Kernel
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Wpis dodano 27 lipca 2023 r.
Kernel
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-38604: anonimowy badacz
Wpis dodano 27 lipca 2023 r.
Kernel
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie zmodyfikować poufny stan jądra. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.7.1.
Opis: ten problem naprawiono przez poprawienie zarządzania stanem.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) z Kaspersky
Kernel
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) ze STAR Labs SG Pte. Ltd.
Kernel
Dostępne dla: systemu macOS Big Sur
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-38603: Zweig z Kunlun Lab
Wpis dodano 22 grudnia 2023 r.
libxpc
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2023-38565: Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2023-38593: Noah Roskin-Frazee
Music
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Wpis dodano 27 lipca 2023 r.
ncurses
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2023-29491: Jonathan Bar Or z Microsoft, Emanuele Cozzi z Microsoft i Michael Pearse z Microsoft
Wpis dodano 8 września 2023 r.
Net-SNMP
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2023-38601: Csaba Fitzl (@theevilbit) z Offensive Security
Wpis dodano 27 lipca 2023 r.
NSSpellChecker
Dostępne dla: systemu macOS Big Sur
Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2023-32444: Mickey Jin (@patch1t)
Wpis dodano 27 lipca 2023 r.
OpenLDAP
Dostępne dla: systemu macOS Big Sur
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-2953: Sandipan Roy
OpenSSH
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do kodów do SSH.
Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących obserwowalności stanów aplikacji.
CVE-2023-42829: James Duffy (mangoSecure)
Wpis dodano 22 grudnia 2023 r.
PackageKit
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2023-42831: James Duffy (mangoSecure)
Wpis dodano 22 grudnia 2023 r.
sips
Dostępne dla: systemu macOS Big Sur
Zagrożenie: przetworzenie pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-32443: David Hoyt z Hoyt LLC
Software Update
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Wpis dodano 22 grudnia 2023 r.
SQLite
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd rozwiązano przez dodanie dodatkowych ograniczeń dotyczących rejestrowania danych w dziennikach SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) i Wojciech Reguła z SecuRing (wojciechregula.blog)
Wpis dodano 8 września 2023 r.
SystemMigration
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-32429: Wenchao Li i Xiaolong Bai z Hangzhou Orange Shield Information Technology Co., Ltd.
Wpis dodano 27 lipca 2023 r.
tcpdump
Dostępne dla: systemu macOS Big Sur
Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-1801
Wpis dodano 22 grudnia 2023 r.
Vim
Dostępne dla: systemu macOS Big Sur
Zagrożenie: liczne błędy w aplikacji Vim.
Opis: naprawiono liczne błędy przez uaktualnienie oprogramowania Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Wpis dodano 22 grudnia 2023 r.
Dodatkowe podziękowania
Dziękujemy za udzieloną pomoc: Parvez Anwar.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.