Om säkerhetsinnehållet i macOS Big Sur 11.7.7

Det här dokumentet beskriver säkerhetsinnehållet i macOS Big Sur 11.7.7.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter med hjälp av CVE-ID när det är möjligt.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Big Sur 11.7.7

Accessibility

Tillgängligt för: macOS Big Sur

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2023-32388: Kirin (@Pwnrin)

AppleEvents

Tillgängligt för: macOS Big Sur

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.

CVE-2023-28191: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tillgängligt för: macOS Big Sur

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet åtgärdades med förbättrade behörigheter.

CVE-2023-32411: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan införa kod i känsliga binära filer som levereras med Xcode

Beskrivning: Detta problem löstes genom att aktivera härdad exekvering på de berörda binärfilerna på systemnivå.

CVE-2023-32383: James Duffy (mangoSecure)

Lades till 21 december 2023

Contacts

Tillgängligt för: macOS Big Sur

Effekt: En app kan observera oskyddade användardata

Beskrivning: Ett integritetsproblem åtgärdades med förbättrad hantering av tillfälliga filer.

CVE-2023-32386: Kirin (@Pwnrin)

CoreCapture

Tillgängligt för: macOS Big Sur

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-28181: Tingting Yin på Tsinghua University

CUPS

Tillgängligt för: macOS Big Sur

Effekt: En oautentiserad användare kan få tillgång till nyligen utskrivna dokument

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2023-32360: Gerhard Muth

dcerpc

Tillgängligt för: macOS Big Sur

Effekt: En fjärrangripare kunde orsaka ett oväntat appavslut eller körning av opålitlig kod

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2023-32387: Dimitrios Tatsis på Cisco Talos

Dev Tools

Tillgängligt för: macOS Big Sur

Effekt: En app i sandlådeläge kan kanske samla in systemloggar

Beskrivning: Problemet åtgärdades med förbättrade behörigheter.

CVE-2023-27945: Mickey Jin (@patch1t)

GeoServices

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2023-32392: Adam M.

Uppdaterades 21 december 2023

ImageIO

Tillgängligt för: macOS Big Sur

Effekt: Bearbetning av en bildfil kan leda till körning av opålitlig kod

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) i samarbete med Trend Micro Zero Day Initiative

IOSurface

Tillgängligt för: macOS Big Sur

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2023-32410: Hou xuewei (@p1ay8y3ar) vmk msu

Kernel

Tillgängligt för: macOS Big Sur

Effekt: En app kan få rotbehörigheter

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) på Synacktiv (@Synacktiv) i samarbete med Trend Micro Zero Day Initiative

Kernel

Tillgängligt för: macOS Big Sur

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2023-32398: Adam Doupé på ASU SEFCOM

LaunchServices

Tillgängligt för: macOS Big Sur

Effekt: En app kan kringgå Gatekeeper-kontroller

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) på SecuRing (wojciechregula.blog)

libxpc

Tillgängligt för: macOS Big Sur

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2023-32369: Jonathan Bar Or på Microsoft, Anurag Bohra på Microsoft och Michael Pearse på Microsoft

libxpc

Tillgängligt för: macOS Big Sur

Effekt: En app kan få rotbehörigheter

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2023-32405: Thijs Alkemade (@xnyhps) på Computest Sector 7

Metal

Tillgängligt för: macOS Big Sur

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Tillgängligt för: macOS Big Sur

Effekt: Bearbetning av en 3D-modell kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2023-32380: Mickey Jin (@patch1t)

Model I/O

Tillgängligt för: macOS Big Sur

Effekt: Bearbetning av en 3D-modell kan leda till spridning av processminne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2023-32382: Mickey Jin (@patch1t)

NetworkExtension

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.

CVE-2023-32403: Adam M.

Uppdaterades 21 december 2023

PackageKit

Tillgängligt för: macOS Big Sur

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2023-32355: Mickey Jin (@patch1t)

Perl

Tillgängligt för: macOS Big Sur

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2023-32395: Arsenii Kostromin (0x3c3e)

Quick Look

Tillgängligt för: macOS Big Sur

Effekt: Tolkning av ett Office-dokument kan leda till en oväntad appavslutning eller körning av opålitlig kod

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2023-32401: Holger Fuhrmannek på Deutsche Telekom Security GmbH på uppdrag av BSI (German Federal Office for Information Security)

Lades till 21 december 2023

Sandbox

Tillgängligt för: macOS Big Sur

Effekt: En app kan ha kvar åtkomst till systemkonfigurationsfiler även efter att dess behörighet har återkallats

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa på FFRI Security, Inc., Kirin (@Pwnrin) och Csaba Fitzl (@theevilbit) på Offensive Security

Shell

Tillgängligt för: macOS Big Sur

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Telephony

Tillgängligt för: macOS Big Sur

Effekt: En fjärrangripare kunde orsaka ett oväntat appavslut eller körning av opålitlig kod

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2023-32412: Ivan Fratric på Google Project Zero

Ytterligare tack

libxml2

Vi vill tacka OSS-Fuzz, Ned Williamson på Google Project Zero för hjälpen.

Reminders

Vi vill tacka Kirin (@Pwnrin) för hjälpen.

Security

Vi vill tacka James Duffy (mangoSecure) för hjälpen.

Wi-Fi

Vi vill tacka Adam M. för hjälpen.

Uppdaterades 21 december 2023

Wi-Fi Connectivity

Vi vill tacka Adam M. för hjälpen.

Uppdaterades 21 december 2023