Проблеми системи безпеки, які усунено в оновленні macOS Big Sur 11.7.3

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Big Sur 11.7.3.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Big Sur 11.7.3

Дата випуску: 23 січня 2023 р.

AppleMobileFileIntegrity

Цільові продукти: macOS Big Sur.

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: цю проблему вирішено за рахунок обмеження часу роботи програми.

CVE-2023-23499: Wojciech Reguła (@_r3ggi) із SecuRing (wojciechregula.blog)

curl

Цільові продукти: macOS Big Sur.

Вплив: виявлено кілька проблем у curl.

Опис: численні проблеми вирішено через оновлення curl до версії 7.85.0.

CVE-2022-35252

dcerpc

Цільові продукти: macOS Big Sur.

Вплив: монтування зловмисно створеної мережевої папки Samba може призводити до виконання довільного коду.

Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2023-23513: Дімітріос Таціс (Dimitrios Tatsis) й Александар Ніколіч (Aleksandar Nikolic) із Cisco Talos

Kernel

Цільові продукти: macOS Big Sur.

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-23516: Джорді Зомер (Jordy Zomer, @pwningsystems)

Запис додано 11 травня 2023 р.

Mail

Цільові продукти: macOS Big Sur.

Вплив: програма може отримувати доступ до вкладень у папці пошти через тимчасовий каталог, що використовується під час стискання.

Опис: проблему вирішено завдяки вдосконаленню обмежень доступу.

CVE-2022-42834: Войцех Регула (Wojciech Reguła, @_r3ggi) із SecuRing

Запис додано 11 травня 2023 р.

PackageKit

Цільові продукти: macOS Big Sur.

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2023-23497: Міккі Джин (Mickey Jin, @patch1t)

Screen Time

Цільові продукти: macOS Big Sur.

Вплив: програма може отримати доступ до інформації про контакти користувача.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2023-23505: Войцех Регула (Wojciech Reguła, wojciechregula.blog) із SecuRing і Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security

Запис оновлено 11 травня 2023 р.

TCC

Цільові продукти: macOS Big Sur.

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2023-27931: Міккі Джин (Mickey Jin, @patch1t)

Запис додано 11 травня 2023 р.

WebKit

Цільові продукти: macOS Big Sur

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 248268

CVE-2023-23518: Йон Хьон Чой (YeongHyeon Choi, @hyeon101010), Хьон Пак (Hyeon Park, @tree_segment), Се Ок Джон (SeOk JEON, @_seokjeon), Йон Сон Ан (YoungSung Ahn, @_ZeroSung), Джун Сео Беі (JunSeo Bae, @snakebjs0107), Дохьон Лі (Dohyun Lee, @l33d0hyun) із команди ApplePIE

WebKit Bugzilla: 248268

CVE-2023-23517: Йон Хьон Чой (YeongHyeon Choi, @hyeon101010), Хьон Пак (Hyeon Park, @tree_segment), Се Ок Джон (SeOk JEON, @_seokjeon), Йон Сон Ан (YoungSung Ahn, @_ZeroSung), Джун Сео Беі (JunSeo Bae, @snakebjs0107), Дохьон Лі (Dohyun Lee, @l33d0hyun) із команди ApplePIE

Windows Installer

Цільові продукти: macOS Big Sur.

Вплив: програма може обходити параметри приватності.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-23508: Міккі Джин (Mickey Jin, @patch1t)

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: