Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Big Sur 11.7.7
Dátum vydania: 18. mája 2023
Accessibility
Dostupné pre: macOS Big Sur
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Dostupné pre: macOS Big Sur
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupné pre: macOS Big Sur
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná vložiť kód do citlivých binárnych súborov, ktoré sú súčasťou Xcode
Popis: Tento problém bol vyriešený vynútením zabezpečeného chodu príslušných binárnych súborov na úrovni systému.
CVE-2023-32383: James Duffy (mangoSecure)
Dátum pridania záznamu: 21. decembra 2023
Contacts
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná sledovať nechránené používateľské dáta
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2023-32386: Kirin (@Pwnrin)
CoreCapture
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-28181: Tingting Yin (Univerzita Čching-chua)
CUPS
Dostupné pre: macOS Big Sur
Dopad: Neoverený používateľ môže mať prístup k nedávno vytlačeným dokumentom
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32360: Gerhard Muth
dcerpc
Dostupné pre: macOS Big Sur
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32387: Dimitrios Tatsis (Cisco Talos)
Dev Tools
Dostupné pre: macOS Big Sur
Dopad: Apka v sandboxe môže byť schopná zhromažďovať systémové protokoly
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-32392: Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023
ImageIO
Dostupné pre: macOS Big Sur
Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
IOSurface
Dostupné pre: macOS Big Sur
Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) zo spoločnosti Synacktiv (@Synacktiv) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
LaunchServices
Dostupné pre: macOS Big Sur
Dopad: Apka môže obísť kontroly služby Gatekeeper
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-32352: Wojciech Reguła (@_r3ggi, SecuRing, wojciechregula.blog)
libxpc
Dostupné pre: macOS Big Sur
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) a Michael Pearse (Microsoft)
libxpc
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-32405: Thijs Alkemade (@xnyhps, Computest Sector 7)
Metal
Dostupné pre: macOS Big Sur
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Dostupné pre: macOS Big Sur
Dopad: Spracovanie 3D modelu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-32380: Mickey Jin (@patch1t)
Model I/O
Dostupné pre: macOS Big Sur
Dopad: Spracovanie 3D modelu môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32382: Mickey Jin (@patch1t)
NetworkExtension
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-32403: Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023
PackageKit
Dostupné pre: macOS Big Sur
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Dostupné pre: macOS Big Sur
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Dostupné pre: macOS Big Sur
Dopad: Analýza dokumentu balíka Office môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-32401: Holger Fuhrmannek zo spoločnosti Deutsche Telekom Security GmbH v mene úradu BSI (Spolkový úrad pre bezpečnosť informačných technológií)
Dátum pridania záznamu: 21. decembra 2023
Sandbox
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná zachovať si prístup ku konfiguračným súborom systému aj po odvolaní jej povolenia
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) a Csaba Fitzl (@theevilbit, Offensive Security)
Shell
Dostupné pre: macOS Big Sur
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Dostupné pre: macOS Big Sur
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
Ďalšie poďakovanie
libxml2
Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).
Reminders
Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).
Security
Poďakovanie za pomoc si zaslúži James Duffy (mangoSecure).
Wi-Fi
Poďakovanie za pomoc si zaslúži Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023
Wi-Fi Connectivity
Poďakovanie za pomoc si zaslúži Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023