Om säkerhetsinnehållet i macOS Big Sur 11.7.5

I det här dokumentet beskrivs säkerhetsinnehållet i macOS Big Sur 11.7.5.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter med hjälp av CVE-ID när det är möjligt.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Big Sur 11.7.5

Apple Neural Engine

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-23540: Mohamed GHANNAM (@_simo36)

AppleAVD

Tillgängligt för: macOS Big Sur

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2022-26702: En anonym forskare, Antonio Zekic (@antoniozekic) och John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

Tillgängligt för: macOS Big Sur

Effekt: Ett insticksprogram kanske kan ärva appens behörigheter och komma åt användardata

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-28207: Wojciech Reguła (@_r3ggi) på SecuRing

AppleMobileFileIntegrity

Tillgängligt för: macOS Big Sur

Effekt: En användare kan få tillgång till skyddade delar av filsystemet

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-23527: Mickey Jin (@patch1t)

Archive Utility

Tillgängligt för: macOS Big Sur

Effekt: Ett arkiv kanske kan kringgå Gatekeeper

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-27951: Brandon Dalton (@partyD0lphin) på Red Canary och Csaba Fitzl (@theevilbit) på Offensive Security

Calendar

Tillgängligt för: macOS Big Sur

Effekt: Import av en skadlig kalenderinbjudan kan sprida användarinformation

Beskrivning: Flera valideringsproblem åtgärdades genom förbättrad indatasanering.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Carbon Core

Tillgängligt för: macOS Big Sur

Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-23534: Mickey Jin (@patch1t)

ColorSync

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan läsa opålitliga filer

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-27955: JeongOhKyea

CommCenter

Tillgängligt för: macOS Big Sur

Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2023-27936: Tingting Yin på Tsinghua University

CoreServices

Tillgängligt för: macOS Big Sur

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2023-40398: Mickey Jin (@patch1t)

dcerpc

Tillgängligt för: macOS Big Sur

Effekt: En fjärranvändare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2023-27935: Aleksandar Nikolic på Cisco Talos

dcerpc

Tillgängligt för: macOS Big Sur

Effekt: En fjärranvändare kan orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-27953: Aleksandar Nikolic på Cisco Talos

CVE-2023-27958: Aleksandar Nikolic på Cisco Talos

Hitta

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2023-23537: En anonym forskare

FontParser

Tillgängligt för: macOS Big Sur

Effekt: Bearbetning av en typsnittsfil kan leda till opålitlig kodkörning

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2023-32366: Ye Zhang (@VAR10CK) på Baidu Security

Foundation

Tillgängligt för: macOS Big Sur

Effekt: Tolkning av en .plist-fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2023-27937: En anonym forskare

Identity Services

Tillgängligt för: macOS Big Sur

Effekt: En app kan få åtkomst till information om en användares kontakter

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2023-27928: Csaba Fitzl (@theevilbit) på Offensive Security

ImageIO

Tillgängligt för: macOS Big Sur

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2023-27946: Mickey Jin (@patch1t)

ImageIO

Tillgängligt för: macOS Big Sur

Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-23535: Ryuzaki

IOAcceleratorFamily

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2023-32378: Murray Mike

Kernel

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan avslöja kernelminnet

Beskrivning: Det förekom ett problem med läsning utanför gränserna som ledde till att kernelminne avslöjades. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2023-27941: Arsenii Kostromin (0x3c3e)

CVE-2023-28199: Arsenii Kostromin (0x3c3e)

Kernel

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2023-23536: Félix Poulin-Bélanger och David Pan Ogea

Kernel

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2023-23514: Xinru Chi på Pangu Lab och Ned Williamson på Google Project Zero

Kernel

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan avslöja kernelminnet

Beskrivning: Ett valideringsproblem åtgärdades genom förbättrad indatasanering.

CVE-2023-28200: Arsenii Kostromin (0x3c3e)

Kernel

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2023-28185: Pan ZhenPeng på STAR Labs SG Pte. Ltd.

LaunchServices

Tillgängligt för: macOS Big Sur

Effekt: En app kan få rotbehörigheter

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2023-23525: Mickey Jin (@patch1t)

libpthread

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.

CVE-2023-41075: Zweig på Kunlun Lab

Mail

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan visa känslig information

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-28189: Mickey Jin (@patch1t)

Messages

Tillgängligt för: macOS Big Sur

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.

CVE-2023-28197: Joshua Jones

NetworkExtension

Tillgängligt för: macOS Big Sur

Effekt: En användare i en behörig nätverksposition kanske kan förfalska en VPN-server som är konfigurerad med endast EAP-autentisering på en enhet

Beskrivning: Problemet har åtgärdats genom förbättrad autentisering.

CVE-2023-28182: Zhuowei Zhang

PackageKit

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan ändra skyddade delar av filsystemet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2023-27962: Mickey Jin (@patch1t)

Podcasts

Tillgängligt för: macOS Big Sur

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-27942: Mickey Jin (@patch1t)

System Settings

Tillgängligt för: macOS Big Sur

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2023-23542: Adam M.

System Settings

Tillgängligt för: macOS Big Sur

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett tillståndsproblem åtgärdades med hjälp av förbättrad validering.

CVE-2023-28192: Guilherme Rambo på Best Buddy Apps (rambo.codes)

Vim

Tillgängligt för: macOS Big Sur

Effekt: Flera problem i Vim

Beskrivning: Flera problem åtgärdades genom att uppdatera till Vim-version 9.0.1191.

CVE-2023-0433

CVE-2023-0512

XPC

Tillgängligt för: macOS Big Sur

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Problemet hanterades med en ny behörighet.

CVE-2023-27944: Mickey Jin (@patch1t)

Ytterligare tack

Activation Lock

Vi vill tacka Christian Mina för hjälpen.

CoreServices

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

NSOpenPanel

Vi vill tacka Alexandre Colucci (@timacfr) för hjälpen.

Wi-Fi

Vi vill tacka en anonym forskare för hjälpen.