Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Big Sur 11.7.5
Dátum vydania: 27. marca 2023
Apple Neural Engine
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
Dostupné pre: macOS Big Sur
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-26702: Anonymný výskumník, Antonio Zekic (@antoniozekic) a John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Dostupné pre: macOS Big Sur
Dopad: Používateľ môže získať prístup do chránených častí súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Dostupné pre: macOS Big Sur
Dopad: Archív môže byť schopný obísť funkciu Gatekeeper
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-27951: Brandon Dalton (@partyD0lphin, Red Canary) a Csaba Fitzl (@theevilbit, Offensive Security)
Dátum aktualizovania záznamu: 11. mája 2023
Calendar
Dostupné pre: macOS Big Sur
Dopad: Importovanie pozvánky so škodlivým kódom do kalendára môže viesť k exfiltrácii informácií o používateľovi
Popis: Dochádzalo k viacerým problémom s overovaním, ktoré boli vyriešené vylepšením čistenia vstupu.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
Dostupné pre: macOS Big Sur
Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná čítať ľubovoľné súbory
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-27955: JeongOhKyea
CommCenter
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-27936: Tingting Yin (Univerzita Čching-chua)
dcerpc
Dostupné pre: macOS Big Sur
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)
dcerpc
Dostupné pre: macOS Big Sur
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)
CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)
Find My
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-23537: Anonymný výskumník
FontParser
Dostupné pre: macOS Big Sur
Dopad: Spracovanie súboru písma môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32366: Ye Zhang (@VAR10CK) z tímu Baidu Security
Dátum pridania záznamu: 21. decembra 2023
Foundation
Dostupné pre: macOS Big Sur
Dopad: Analýza súboru plist so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-27937: Anonymný výskumník
Identity Services
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať prístup k informáciám o kontaktoch používateľa
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-27928: Csaba Fitzl (@theevilbit, Offensive Security)
ImageIO
Dostupné pre: macOS Big Sur
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Dostupné pre: macOS Big Sur
Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32378: Murray Mike
Dátum pridania záznamu: 21. decembra 2023
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 11. mája 2023, dátum aktualizovania: 21. decembra 2023
Kernel Dostupné pre: macOS Big Sur Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení. CVE-2023-23536: Félix Poulin-Bélanger a David Pan Ogea Dátum pridania záznamu: 11. mája 2023, dátum aktualizovania: 21. decembra 2023
Kernel Dostupné pre: macOS Big Sur Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte. CVE-2023-23514: Xinru Chi (Pangu Lab) a Ned Williamson (Google Project Zero) Kernel Dostupné pre: macOS Big Sur Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu. CVE-2023-28200: Arsenii Kostromin (0x3c3e) Kernel Dostupné pre: macOS Big Sur Dopad: Apka môže byť schopná spôsobiť odopretie služby Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu. CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte. Ltd. Dátum pridania záznamu: 21. decembra 2023
LaunchServices Dostupné pre: macOS Big Sur Dopad: Apka môže byť schopná získať oprávnenia používateľa root Popis: Tento problém bol vyriešený vylepšením kontrol. CVE-2023-23525: Mickey Jin (@patch1t) Dátum pridania záznamu: 11. mája 2023
libpthread Dostupné pre: macOS Big Sur Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol. CVE-2023-41075: Zweig (Kunlun Lab) Dátum pridania záznamu: 21. decembra 2023
Mail Dostupné pre: macOS Big Sur Dopad: Apka môže byť schopná zobraziť si citlivé informácie Popis: Tento problém bol vyriešený vylepšením kontrol. CVE-2023-28189: Mickey Jin (@patch1t) Dátum pridania záznamu: 11. mája 2023
Messages Dostupné pre: macOS Big Sur Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu. CVE-2023-28197: Joshua Jones Dátum pridania záznamu: 21. decembra 2023
NetworkExtension Dostupné pre: macOS Big Sur Dopad: Používateľ s oprávneniami v sieti môže byť schopný predstierať server VPN nakonfigurovaný v zariadení len s autentifikáciou EAP Popis: Tento problém bol vyriešený vylepšením overovania. CVE-2023-28182: Zhuowei Zhang PackageKit Dostupné pre: macOS Big Sur Dosah: Apka môže byť schopná upravovať chránené časti súborového systému Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol. CVE-2023-27962: Mickey Jin (@patch1t) Podcasts Dostupné pre: macOS Big Sur Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom Popis: Tento problém bol vyriešený vylepšením kontrol. CVE-2023-27942: Mickey Jin (@patch1t) Dátum pridania záznamu: 11. mája 2023
System Settings Dostupné pre: macOS Big Sur Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov. CVE-2023-23542: Adam M. Dátum aktualizovania záznamu: 21. decembra 2023
System Settings Dostupné pre: macOS Big Sur Dopad: Apka môže byť schopná čítať citlivé informácie o polohe Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania. CVE-2023-28192: Guilherme Rambo (Best Buddy Apps, rambo.codes) Vim Dostupné pre: macOS Big Sur Dosah: Viacero problémov týkajúcich sa softvéru Vim Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou súčasti Vim na verziu 9.0.1191. CVE-2023-0433 CVE-2023-0512 XPC Dostupné pre: macOS Big Sur Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu Popis: Tento problém bol vyriešený novými oprávneniami. CVE-2023-27944: Mickey Jin (@patch1t)
Ďalšie poďakovanie
Activation Lock
Poďakovanie za pomoc si zaslúži Christian Mina.
AppleMobileFileIntegrity
Poďakovanie za pomoc si zaslúži Wojciech Reguła (@_r3ggi, wojciechregula.blog) zo spoločnosti SecuRing.
CoreServices
Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).
NSOpenPanel
Poďakovanie za pomoc si zaslúži Alexandre Colucci (@timacfr).
Wi-Fi
Poďakovanie za pomoc si zaslúži anonymný výskumník.