Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Big Sur 11.7.5
Lansare: 27 martie 2023
Apple Neural Engine
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-26702: un cercetător anonim, Antonio Zekic (@antoniozekic) și John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Big Sur
Descriere: un utilizator poate obține acces la componente protejate ale sistemului de fișiere
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Disponibilitate pentru: macOS Big Sur
Impact: o arhivă poate ocoli Gatekeeper
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) de la Red Canary și Csaba Fitzl (@theevilbit) de la Offensive Security
Actualizare intrare: 11 mai 2023
Calendar
Disponibilitate pentru: macOS Big Sur
Impact: importarea unei invitații de calendar create cu rea intenție poate exfiltra informații ale utilizatorului
Descriere: au fost rezolvate mai multe probleme de validare prin îmbunătățirea igienizării intrării.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate citi fișiere arbitrare
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-27955: JeongOhKyea
CommCenter
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2023-27936: Tingting Yin de la Tsinghua University
dcerpc
Disponibilitate pentru: macOS Big Sur
Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)
dcerpc
Disponibilitate pentru: macOS Big Sur
Impact: un utilizator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)
CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)
Find My
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-23537: un cercetător anonim
FontParser
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui fișier de font poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2023-32366: Ye Zhang (@VAR10CK) (Baidu Security)
Intrare adăugată la 21 decembrie 2023
Foundation
Disponibilitate pentru: macOS Big Sur
Impact: analizarea unui plist creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2023-27937: un cercetător anonim
Identity Services
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate accesa informații despre contactele unui utilizator
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-27928: Csaba Fitzl (@theevilbit) de la Offensive Security
ImageIO
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-32378: Murray Mike
Intrare adăugată la 21 decembrie 2023
Kernel
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei kernel. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Intrare adăugată la 11 mai 2023, actualizată la 21 decembrie, 2023
Kernel Disponibilitate pentru: macOS Big Sur Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor. CVE-2023-23536: Félix Poulin-Bélanger și David Pan Ogea Intrare adăugată la 11 mai 2023, actualizată la 21 decembrie 2023
Kernel Disponibilitate pentru: macOS Big Sur Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei. CVE-2023-23514: Xinru Chi (Pangu Lab) și Ned Williamson (Google Project Zero) Kernel Disponibilitate pentru: macOS Big Sur Impact: o aplicație poate să divulge conținutul memoriei kernel Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării. CVE-2023-28200: Arsenii Kostromin (0x3c3e) Kernel Disponibilitate pentru: macOS Big Sur Impact: o aplicație poate provoca o refuzare a serviciului Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării. CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd. Intrare adăugată la 21 decembrie 2023
LaunchServices Disponibilitate pentru: macOS Big Sur Impact: este posibil ca o aplicație să obțină privilegii de rădăcină Descriere: această problemă a fost rezolvată prin verificări îmbunătățite. CVE-2023-23525: Mickey Jin (@patch1t) Adăugare intrare: 11 mai 2023
libpthread Disponibilitate pentru: macOS Big Sur Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor. CVE-2023-41075: Zweig (Kunlun Lab) Intrare adăugată la 21 decembrie 2023
Mail Disponibilitate pentru: macOS Big Sur Impact: o aplicație poate vizualiza informații sensibile Descriere: problema a fost remediată prin îmbunătățirea verificărilor. CVE-2023-28189: Mickey Jin (@patch1t) Adăugare intrare: 11 mai 2023
Mesaje Disponibilitate pentru: macOS Big Sur Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox. CVE-2023-28197: Joshua Jones Intrare adăugată la 21 decembrie 2023
NetworkExtension Disponibilitate pentru: macOS Big Sur Impact: un utilizator aflat într-o poziție privilegiată în rețea poate fi capabil să falsifice un server VPN care este configurat cu autentificare EAP-only pe un dispozitiv Descriere: problema a fost rezolvată prin îmbunătățirea autentificării. CVE-2023-28182: Zhuowei Zhang PackageKit Disponibilitate pentru: macOS Big Sur Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor. CVE-2023-27962: Mickey Jin (@patch1t) Podcasturi Disponibilitate pentru: macOS Big Sur Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor Descriere: problema a fost remediată prin îmbunătățirea verificărilor. CVE-2023-27942: Mickey Jin (@patch1t) Adăugare intrare: 11 mai 2023
System Settings Disponibilitate pentru: macOS Big Sur Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal. CVE-2023-23542: Adam M. Intrare adăugată la 21 decembrie 2023
System Settings Disponibilitate pentru: macOS Big Sur Impact: o aplicație poate citi informații de localizare sensibile Descriere: a fost rezolvată o problemă de permisiune prin îmbunătățirea validării. CVE-2023-28192: Guilherme Rambo de la Best Buddy Apps (rambo.codes) Vim Disponibilitate pentru: macOS Big Sur Impact: probleme multiple în Vim Descriere: mai multe probleme au fost rezolvate prin actualizarea la versiunea Vim 9.0.1191. CVE-2023-0433 CVE-2023-0512 XPC Disponibilitate pentru: macOS Big Sur Impact: o aplicație poate evada din sandbox Descriere: această problemă a fost rezolvată prin noi drepturi. CVE-2023-27944: Mickey Jin (@patch1t)
Alte mențiuni
Activation Lock
Dorim să îi mulțumim lui Christian Mina pentru asistență.
AppleMobileFileIntegrity
Dorim să îi mulțumim lui Wojciech Reguła (@_r3ggi) de la SecuRing (wojciechregula.blog) pentru asistența acordată.
CoreServices
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.
NSOpenPanel
Dorim să-i mulțumim lui Alexandre Colucci (@timacfr) pentru asistența acordată.
Wi-Fi
Dorim să îi mulțumim unui cercetător anonim pentru asistență.