Obsah zabezpečenia v systéme macOS Big Sur 11.7.5
V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Big Sur 11.7.5.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Big Sur 11.7.5
Dátum vydania: 27. marca 2023
Apple Neural Engine
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-26702: Anonymný výskumník, Antonio Zekic (@antoniozekic) a John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Dostupné pre: macOS Big Sur
Dopad: Plugin môže byť schopný prevziať povolenia apky a získať prístup k dátam používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-28207: Wojciech Reguła (@_r3ggi) z tímu SecuRing
Dátum pridania záznamu: 20. marca 2025
AppleMobileFileIntegrity
Dostupné pre: macOS Big Sur
Dopad: Používateľ môže získať prístup do chránených častí súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Dostupné pre: macOS Big Sur
Dopad: Archív môže byť schopný obísť funkciu Gatekeeper
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-27951: Brandon Dalton (@partyD0lphin, Red Canary) a Csaba Fitzl (@theevilbit, Offensive Security)
Dátum aktualizovania záznamu: 11. mája 2023
Calendar
Dostupné pre: macOS Big Sur
Dopad: Importovanie pozvánky so škodlivým kódom do kalendára môže viesť k exfiltrácii informácií o používateľovi
Popis: Dochádzalo k viacerým problémom s overovaním, ktoré boli vyriešené vylepšením čistenia vstupu.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
Dostupné pre: macOS Big Sur
Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná čítať ľubovoľné súbory
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-27955: JeongOhKyea
CommCenter
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-27936: Tingting Yin (Univerzita Čching-chua)
CoreServices
Dostupné pre: macOS Big Sur
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-40398: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. júla 2024
dcerpc
Dostupné pre: macOS Big Sur
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)
dcerpc
Dostupné pre: macOS Big Sur
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)
CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)
Find My
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-23537: Anonymný výskumník
FontParser
Dostupné pre: macOS Big Sur
Dopad: Spracovanie súboru písma môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32366: Ye Zhang (@VAR10CK) z tímu Baidu Security
Dátum pridania záznamu: 21. decembra 2023
Foundation
Dostupné pre: macOS Big Sur
Dopad: Analýza súboru plist so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-27937: Anonymný výskumník
Identity Services
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať prístup k informáciám o kontaktoch používateľa
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-27928: Csaba Fitzl (@theevilbit, Offensive Security)
ImageIO
Dostupné pre: macOS Big Sur
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Dostupné pre: macOS Big Sur
Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32378: Murray Mike
Dátum pridania záznamu: 21. decembra 2023
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 11. mája 2023, aktualizovaný 21. decembra 2023
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-23536: Félix Poulin-Bélanger a David Pan Ogea
Dátum pridania záznamu: 11. mája 2023, aktualizovaný 21. decembra 2023
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-23514: Xinru Chi (Pangu Lab) a Ned Williamson (Google Project Zero)
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte. Ltd.
Dátum pridania záznamu: 21. decembra 2023
LaunchServices
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-23525: Mickey Jin (@patch1t)
Dátum pridania záznamu: 11. mája 2023
libpthread
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-41075: Zweig (Kunlun Lab)
Dátum pridania záznamu: 21. decembra 2023
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná zobraziť si citlivé informácie
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-28189: Mickey Jin (@patch1t)
Dátum pridania záznamu: 11. mája 2023
Messages
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.
CVE-2023-28197: Joshua Jones
Dátum pridania záznamu: 21. decembra 2023
NetworkExtension
Dostupné pre: macOS Big Sur
Dopad: Používateľ s oprávneniami v sieti môže byť schopný predstierať server VPN nakonfigurovaný v zariadení len s autentifikáciou EAP
Popis: Tento problém bol vyriešený vylepšením overovania.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-27962: Mickey Jin (@patch1t)
Podcasts
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-27942: Mickey Jin (@patch1t)
Dátum pridania záznamu: 11. mája 2023
System Settings
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-23542: Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023
System Settings
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania.
CVE-2023-28192: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Vim
Dostupné pre: macOS Big Sur
Dopad: Viacero problémov týkajúcich sa softvéru Vim
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou súčasti Vim na verziu 9.0.1191.
CVE-2023-0433
CVE-2023-0512
XPC
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený novými oprávneniami.
CVE-2023-27944: Mickey Jin (@patch1t)
Ďalšie poďakovanie
Activation Lock
Poďakovanie za pomoc si zaslúži Christian Mina.
CoreServices
Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).
NSOpenPanel
Poďakovanie za pomoc si zaslúži Alexandre Colucci (@timacfr).
Wi-Fi
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.