Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
macOS Big Sur 11.7.5
Släpptes 27 mars 2023
Apple Neural Engine
Tillgängligt för: macOS Big Sur
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
Tillgängligt för: macOS Big Sur
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
CVE-2022-26702: En anonym forskare, Antonio Zekic (@antoniozekic) och John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Tillgängligt för: macOS Big Sur
Effekt: En användare kan få tillgång till skyddade delar av filsystemet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Tillgängligt för: macOS Big Sur
Effekt: Ett arkiv kanske kan kringgå Gatekeeper
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) på Red Canary och Csaba Fitzl (@theevilbit) på Offensive Security
Uppdaterades 11 maj 2023
Calendar
Tillgängligt för: macOS Big Sur
Effekt: Import av en skadlig kalenderinbjudan kan sprida användarinformation
Beskrivning: Flera valideringsproblem åtgärdades genom förbättrad indatasanering.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
Tillgängligt för: macOS Big Sur
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Tillgängligt för: macOS Big Sur
Effekt: En app kan läsa godtyckliga filer
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-27955: JeongOhKyea
CommCenter
Tillgängligt för: macOS Big Sur
Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-27936: Tingting Yin på Tsinghua University
dcerpc
Tillgängligt för: macOS Big Sur
Effekt: En fjärranvändare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2023-27935: Aleksandar Nikolic på Cisco Talos
dcerpc
Tillgängligt för: macOS Big Sur
Effekt: En fjärranvändare kan orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-27953: Aleksandar Nikolic på Cisco Talos
CVE-2023-27958: Aleksandar Nikolic på Cisco Talos
Find My
Tillgängligt för: macOS Big Sur
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-23537: En anonym forskare
FontParser
Tillgängligt för: macOS Big Sur
Effekt: Bearbetning av en typsnittsfil kan leda till opålitlig kodkörning
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-32366: Ye Zhang (@VAR10CK) på Baidu Security
Lades till 21 december 2023
Foundation
Tillgängligt för: macOS Big Sur
Effekt: Tolkning av en .plist-fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2023-27937: En anonym forskare
Identity Services
Tillgängligt för: macOS Big Sur
Effekt: En app kan få åtkomst till information om en användares kontakter
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-27928: Csaba Fitzl (@theevilbit) på Offensive Security
ImageIO
Tillgängligt för: macOS Big Sur
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Tillgängligt för: macOS Big Sur
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-23535: Ryuzaki
IOAcceleratorFamily
Tillgängligt för: macOS Big Sur
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades med förbättrad minneshantering.
CVE-2023-32378: Murray Mike
Lades till 21 december 2023
Kernel
Tillgängligt för: macOS Big Sur
Effekt: En app kan avslöja kernelminnet
Beskrivning: Det förekom ett problem med läsning utanför gränserna som ledde till att kernelminne avslöjades. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Lades till 11 maj 2023, uppdaterades 21 december 2023
Kernel Tillgängligt för: macOS Big Sur Effekt: En app kan köra opålitlig kod med kernelbehörighet Beskrivning: Problemet hanterades med förbättrade gränskontroller. CVE-2023-23536: Félix Poulin-Bélanger och David Pan Ogea Lades till 11 maj 2023, uppdaterades 21 december 2023
Kernel Tillgängligt för: macOS Big Sur Effekt: En app kan köra opålitlig kod med kernelbehörighet Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering. CVE-2023-23514: Xinru Chi på Pangu Lab och Ned Williamson på Google Project Zero Kernel Tillgängligt för: macOS Big Sur Effekt: En app kan avslöja kernelminnet Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering. CVE-2023-28200: Arsenii Kostromin (0x3c3e) Kernel Tillgängligt för: macOS Big Sur Effekt: En app kan orsaka ett dos-angrepp Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering. CVE-2023-28185: Pan ZhenPeng på STAR Labs SG Pte. Ltd. Lades till 21 december 2023
LaunchServices Tillgängligt för: macOS Big Sur Effekt: En app kan få rotbehörigheter Beskrivning: Problemet åtgärdades med förbättrade kontroller. CVE-2023-23525: Mickey Jin (@patch1t) Lades till 11 maj 2023
libpthread Tillgängligt för: macOS Big Sur Effekt: En app kan köra opålitlig kod med kernelbehörighet Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller. CVE-2023-41075: Zweig på Kunlun Lab Lades till 21 december 2023
Mail Tillgängligt för: macOS Big Sur Effekt: En app kanske kan visa känslig information Beskrivning: Problemet hanterades med förbättrade kontroller. CVE-2023-28189: Mickey Jin (@patch1t) Lades till 11 maj 2023
Messages Tillgängligt för: macOS Big Sur Effekt: En app kan komma åt användarkänsliga data Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar. CVE-2023-28197: Joshua Jones Lades till 21 december 2023
NetworkExtension Tillgängligt för: macOS Big Sur Effekt: En användare i en behörig nätverksposition kanske kan förfalska en VPN-server som är konfigurerad med endast EAP-autentisering på en enhet Beskrivning: Problemet har åtgärdats genom förbättrad autentisering. CVE-2023-28182: Zhuowei Zhang PackageKit Tillgängligt för: macOS Big Sur Effekt: En app kan ändra skyddade delar av filsystemet Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller. CVE-2023-27962: Mickey Jin (@patch1t) Podcasts Tillgängligt för: macOS Big Sur Effekt: En app kan komma åt användarkänsliga data Beskrivning: Problemet hanterades med förbättrade kontroller. CVE-2023-27942: Mickey Jin (@patch1t) Lades till 11 maj 2023
System Settings Tillgängligt för: macOS Big Sur Effekt: En app kan komma åt användarkänsliga data Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter. CVE-2023-23542: Adam M. Uppdaterades 21 december 2023
System Settings Tillgängligt för: macOS Big Sur Effekt: En app kanske kan läsa känslig platsinformation Beskrivning: Ett tillståndsproblem åtgärdades med hjälp av förbättrad validering. CVE-2023-28192: Guilherme Rambo på Best Buddy Apps (rambo.codes) Vim Tillgängligt för: macOS Big Sur Effekt: Flera problem i Vim Beskrivning: Flera problem åtgärdades genom att uppdatera till Vim-version 9.0.1191. CVE-2023-0433 CVE-2023-0512 XPC Tillgängligt för: macOS Big Sur Effekt: En app kan bryta sig ut från sin sandlåda Beskrivning: Problemet hanterades med en ny behörighet. CVE-2023-27944: Mickey Jin (@patch1t)
Ytterligare tack
Activation Lock
Vi vill tacka Christian Mina för hjälpen.
AppleMobileFileIntegrity
Vi vill tacka Wojciech Reguła (@_r3ggi) på SecuRing (wojciechregula.blog) för hjälpen.
CoreServices
Vi vill tacka Mickey Jin (@patch1t) för hjälpen.
NSOpenPanel
Vi vill tacka Alexandre Colucci (@timacfr) för hjälpen.
Wi-Fi
Vi vill tacka en anonym forskare för hjälpen.