Проблеми системи безпеки, які усунено в оновленні macOS Big Sur 11.7.3

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Big Sur 11.7.3.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Big Sur 11.7.3

AppleMobileFileIntegrity

Цільові продукти: macOS Big Sur.

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: цю проблему вирішено за рахунок обмеження часу роботи програми.

CVE-2023-23499: Wojciech Reguła (@_r3ggi) із SecuRing (wojciechregula.blog)

curl

Цільові продукти: macOS Big Sur.

Вплив: виявлено кілька проблем у curl.

Опис: численні проблеми вирішено через оновлення curl до версії 7.85.0.

CVE-2022-35252

dcerpc

Цільові продукти: macOS Big Sur.

Вплив: монтування зловмисно створеної мережевої папки Samba може призводити до виконання довільного коду.

Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2023-23513: Дімітріос Таціс (Dimitrios Tatsis) й Александар Ніколіч (Aleksandar Nikolic) із Cisco Talos

Kernel

Цільові продукти: macOS Big Sur.

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-23516: Джорді Зомер (Jordy Zomer, @pwningsystems)

Mail

Цільові продукти: macOS Big Sur.

Вплив: програма може отримувати доступ до вкладень у папці пошти через тимчасовий каталог, що використовується під час стискання.

Опис: проблему вирішено завдяки вдосконаленню обмежень доступу.

CVE-2022-42834: Войцех Регула (Wojciech Reguła, @_r3ggi) із SecuRing

PackageKit

Цільові продукти: macOS Big Sur.

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2023-23497: Міккі Джин (Mickey Jin, @patch1t)

Screen Time

Цільові продукти: macOS Big Sur.

Вплив: програма може отримати доступ до інформації про контакти користувача.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2023-23505: Войцех Регула (Wojciech Reguła, wojciechregula.blog) із SecuRing і Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security

TCC

Цільові продукти: macOS Big Sur.

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2023-27931: Міккі Джин (Mickey Jin, @patch1t)

WebKit

Цільові продукти: macOS Big Sur

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-23518: Йон Хьон Чой (YeongHyeon Choi, @hyeon101010), Хьон Пак (Hyeon Park, @tree_segment), Се Ок Джон (SeOk JEON, @_seokjeon), Йон Сон Ан (YoungSung Ahn, @_ZeroSung), Джун Сео Беі (JunSeo Bae, @snakebjs0107), Дохьон Лі (Dohyun Lee, @l33d0hyun) із команди ApplePIE

CVE-2023-23517: Йон Хьон Чой (YeongHyeon Choi, @hyeon101010), Хьон Пак (Hyeon Park, @tree_segment), Се Ок Джон (SeOk JEON, @_seokjeon), Йон Сон Ан (YoungSung Ahn, @_ZeroSung), Джун Сео Беі (JunSeo Bae, @snakebjs0107), Дохьон Лі (Dohyun Lee, @l33d0hyun) із команди ApplePIE

Windows Installer

Цільові продукти: macOS Big Sur.

Вплив: програма може обходити параметри приватності.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-23508: Міккі Джин (Mickey Jin, @patch1t)