Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице, посвященной безопасности продуктов Apple.
macOS Big Sur 11.7.5
Выпущено 27 марта 2023 г.
Apple Neural Engine
Целевые продукты: macOS Big Sur
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
Целевые продукты: macOS Big Sur
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2022-26702: анонимный исследователь, Antonio Zekic (@antoniozekic) и John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Целевые продукты: macOS Big Sur
Воздействие. Пользователь может получать доступ к защищенным областям файловой системы.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Целевые продукты: macOS Big Sur
Воздействие. Архив может обойти защиту Gatekeeper.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) из Red Canary и Csaba Fitzl (@theevilbit) из Offensive Security
Запись обновлена 11 мая 2023 г.
Calendar
Целевые продукты: macOS Big Sur
Воздействие. При импорте вредоносного приглашения календаря возможно извлечение пользовательских данных.
Описание. Ряд проблем проверки устранен путем улучшенной очистки ввода.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
Целевые продукты: macOS Big Sur
Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Целевые продукты: macOS Big Sur
Воздействие. Приложение может считывать произвольные файлы.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-27955: пользователь JeongOhKyea
CommCenter
Целевые продукты: macOS Big Sur
Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2023-27936: Tingting Yin из Университета Цинхуа
dcerpc
Целевые продукты: macOS Big Sur
Воздействие. Удаленный пользователь может вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2023-27935: Aleksandar Nikolic из Cisco Talos
dcerpc
Целевые продукты: macOS Big Sur
Воздействие. Удаленный пользователь может удаленно вызывать неожиданное завершение работы системы или повреждение памяти ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-27953: Aleksandar Nikolic из Cisco Talos
CVE-2023-27958: Aleksandar Nikolic из Cisco Talos
Find My
Целевые продукты: macOS Big Sur
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-23537: анонимный исследователь
FontParser
Целевые продукты: macOS Big Sur
Воздействие. Обработка файла шрифта может приводить к выполнению произвольного кода
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2023-32366: Ye Zhang (@VAR10CK) из Baidu Security
Запись добавлена 21 декабря 2023 г.
Foundation
Целевые продукты: macOS Big Sur
Воздействие. Анализ вредоносного списка свойств может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2023-27937: анонимный исследователь
Identity Services
Целевые продукты: macOS Big Sur
Воздействие. Приложение может получать доступ к информации о контактах пользователя.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-27928: Csaba Fitzl (@theevilbit) из Offensive Security
ImageIO
Целевые продукты: macOS Big Sur
Воздействие. Обработка вредоносного файла в формате может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Целевые продукты: macOS Big Sur
Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-23535: пользователь ryuzaki
IOAcceleratorFamily
Целевые продукты: macOS Big Sur
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2023-32378: Murray Mike
Запись добавлена 21 декабря 2023 г.
Kernel
Целевые продукты: macOS Big Sur
Воздействие. Приложение может раскрывать данные из памяти ядра.
Описание. Возникала проблема чтения за пределами выделенной области памяти, приводившая к утечке памяти ядра. Проблема устранена путем улучшенной проверки ввода.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Запись добавлена 11 мая 2023 г. и обновлена 21 декабря 2023 г.
Kernel Целевые продукты: macOS Big Sur Воздействие. Приложение может выполнять произвольный код с привилегиями ядра. Описание. Проблема устранена путем улучшенной проверки границ. CVE-2023-23536: Félix Poulin-Bélanger и David Pan Ogea Запись добавлена 11 мая 2023 г. и обновлена 21 декабря 2023 г.
Kernel Целевые продукты: macOS Big Sur Воздействие. Приложение может выполнять произвольный код с привилегиями ядра. Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью. CVE-2023-23514: Xinru Chi из Pangu Lab и Ned Williamson из Google Project Zero Kernel Целевые продукты: macOS Big Sur Воздействие. Приложение может раскрывать данные из памяти ядра. Описание. Проблема с проверкой устранена путем улучшения очистки ввода. CVE-2023-28200: Arsenii Kostromin (0x3c3e) Kernel Целевые продукты: macOS Big Sur Воздействие. Приложение может вызывать отказ в обслуживании. Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода. CVE-2023-28185: Pan ZhenPeng из STAR Labs SG Pte. Ltd. Запись добавлена 21 декабря 2023 г.
LaunchServices Целевые продукты: macOS Big Sur Воздействие. Приложение может получить привилегии пользователя root. Описание. Проблема устранена путем улучшения проверок. CVE-2023-23525: Mickey Jin (@patch1t) Запись добавлена 11 мая 2023 г.
libpthread Целевые продукты: macOS Big Sur Воздействие. Приложение может выполнять произвольный код с привилегиями ядра. Описание. Проблема смешения типов устранена путем улучшенных проверок. CVE-2023-41075: Zweig из Kunlun Lab Запись добавлена 21 декабря 2023 г.
Mail Целевые продукты: macOS Big Sur Воздействие. Приложение может просматривать конфиденциальные данные. Описание. Проблема устранена путем улучшенной проверки. CVE-2023-28189: Mickey Jin (@patch1t) Запись добавлена 11 мая 2023 г.
Messages Целевые продукты: macOS Big Sur Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным. Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды. CVE-2023-28197: Joshua Jones Запись добавлена 21 декабря 2023 г.
NetworkExtension Целевые продукты: macOS Big Sur Воздействие. Пользователь с преимущественным положением в сети может подделать VPN-сервер, настроенный только на EAP-аутентификацию на устройстве. Описание. Проблема устранена путем улучшения аутентификации. CVE-2023-28182: Zhuowei Zhang PackageKit Целевые продукты: macOS Big Sur Воздействие. Приложение может изменять защищенные области файловой системы. Описание. Проблема с логикой устранена путем улучшения проверок. CVE-2023-27962: Mickey Jin (@patch1t) Podcasts Целевые продукты: macOS Big Sur Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным. Описание. Проблема устранена путем улучшенной проверки. CVE-2023-27942: Mickey Jin (@patch1t) Запись добавлена 11 мая 2023 г.
System Settings Целевые продукты: macOS Big Sur Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным. Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала. CVE-2023-23542: Adam M. Запись обновлена 21 декабря 2023 г.
System Settings Целевые продукты: macOS Big Sur Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции. Описание. Проблема с правами доступа устранена путем улучшения проверки. CVE-2023-28192: Guilherme Rambo из Best Buddy Apps (rambo.codes) Vim Целевые продукты: macOS Big Sur Воздействие. Обнаружен ряд проблем в Vim. Описание. Ряд проблем устранен путем обновления компонента Vim до версии 9.0.1191. CVE-2023-0433 CVE-2023-0512 XPC Целевые продукты: macOS Big Sur Воздействие. Приложение может выходить за границы песочницы. Описание. Проблема устранена путем внедрения новой процедуры предоставления прав. CVE-2023-27944: Mickey Jin (@patch1t)
Дополнительные благодарности
Activation Lock
Выражаем благодарность за помощь Christian Mina.
AppleMobileFileIntegrity
Выражаем благодарность за помощь Wojciech Reguła (@_r3ggi) из SecuRing (wojciechregula.blog).
CoreServices
Выражаем благодарность за помощь Mickey Jin (@patch1t).
NSOpenPanel
Благодарим за помощь Alexandre Colucci (@timacfr).
Wi-Fi
Выражаем благодарность за помощь анонимному исследователю.