Проблеми системи безпеки, які усунено в оновленні macOS Big Sur 11.7.9
У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Big Sur 11.7.9.
Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
macOS Big Sur 11.7.9
Дата випуску: 24 липня 2023 р.
Accessibility
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-40442: Нік Брук (Nick Brook)
Запис додано 8 вересня 2023 р.
Apple Neural Engine
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-34425: pattern-f (@pattern_F_) з Ant Security Light-Year Lab
Запис додано 27 липня 2023 р.
AppSandbox
Цільові продукти: macOS Big Sur.
Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2023-32364: користувач Gergely Kalman (@gergely_kalman)
Запис додано 27 липня 2023 р.
Assets
Цільові продукти: macOS Big Sur.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.
CVE-2023-35983: Міккі Джин (Mickey Jin, @patch1t)
CFNetwork
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-40392: Войцех Регула (Wojciech Regula) із SecuRing (wojciechregula.blog)
Запис додано 8 вересня 2023 р.
CUPS
Цільові продукти: macOS Big Sur.
Вплив: користувач із привілейованим положенням у мережі може спричинити витік конфіденційної інформації.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2023-34241: користувач Sei K.
Запис додано 27 липня 2023 р.
curl
Цільові продукти: macOS Big Sur.
Вплив: виявлено кілька проблем у curl.
Вплив: численні проблеми вирішено через оновлення curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
FontParser
Цільові продукти: macOS Big Sur.
Вплив: обробка файлу шрифту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема могла активно впливати на версії iOS, випущені до оновлення iOS 15.7.1.
Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.
CVE-2023-41990: фахівці Apple, Валентин Пашков (Valentin Pashkov), Міхаїл Виноградов (Mikhail Vinogradov), Георгій Кучерін (Georgy Kucherin, @kucher1n), Леонід Безвершенко (Leonid Bezvershenko, @bzvr_) і Борис Ларін (Boris Larin, @oct0xor) із Kaspersky
Запис додано 8 вересня 2023 р.
Grapher
Цільові продукти: macOS Big Sur.
Вплив: обробка файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-36854: Bool із YunShangHuaAn(云上华安)
CVE-2023-32418: Bool із YunShangHuaAn(云上华安)
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2023-32381: анонімний дослідник
CVE-2023-32433: користувач Zweig із Kunlun Lab
CVE-2023-35993: Кайтао Се (Kaitao Xie) та Сяолун Бай (Xiaolong Bai) з Alibaba Group
Kernel
Цільові продукти: macOS Big Sur.
Вплив: віддалений користувач може спричинити відмову в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-38603: користувач Zweig із Kunlun Lab
Запис додано 27 липня 2023 р.
Kernel
Цільові продукти: macOS Big Sur.
Вплив: віддалений користувач може спричиняти несподіване завершення роботи системи або пошкодження пам’яті ядра.
Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.
CVE-2023-38590: користувач Zweig із Kunlun Lab
Запис додано 27 липня 2023 р.
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2023-38598: Мохамед Ганнам (Mohamed GHANNAM, @_simo36)
Запис додано 27 липня 2023 р.
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2023-37285: Арсеній Костромін (Arsenii Kostromin, 0x3c3e)
Запис додано 27 липня 2023 р.
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2023-38604: анонімний дослідник
Запис додано 27 липня 2023 р.
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може змінювати конфіденційну інформацію про стан ядра. Компанії Apple відомо про те, що ця проблема могла активно впливати на версії iOS, випущені до оновлення iOS 15.7.1.
Опис: цю проблему вирішено шляхом вдосконалення керування станами.
CVE-2023-38606: Валентин Пашков (Valentin Pashkov), Міхаїл Виноградов (Mikhail Vinogradov), Георгій Кучерін (Georgy Kucherin, @kucher1n), Леонід Безвершенко (Leonid Bezvershenko, @bzvr_) і Борис Ларін (Boris Larin, @oct0xor) із Kaspersky
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-32441: Пітер Нгуєн Ву Хоанг (Peter Nguyễn Vũ Hoàng, @peternguyen14) зі STAR Labs SG Pte. Ltd.
Kernel
Цільові продукти: macOS Big Sur.
Вплив: віддалений користувач може спричинити відмову в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-38603: користувач Zweig із Kunlun Lab
Запис додано 22 грудня 2023 р.
libxpc
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати права кореневого користувача.
Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.
CVE-2023-38565: Чжипен Хо (Zhipeng Huo, @R3dF09) із Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Цільові продукти: macOS Big Sur.
Вплив: програма може спричинити відмову в обслуговуванні.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2023-38593: Ноа Роскін-Фразі (Noah Roskin-Frazee)
Music
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити параметри приватності.
Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.
CVE-2023-38571: Гергелі Кальман (Gergely Kalman, @gergely_kalman)
Запис додано 27 липня 2023 р.
ncurses
Цільові продукти: macOS Big Sur.
Вплив: програма може спричинити неочікуване завершення роботи програми або виконання довільного коду.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.
CVE-2023-29491: Джонатан Бар Ор (Jonathan Bar Or), Емануель Коцці (Emanuele Cozzi) та Майкл Пірс (Michael Pearse) із корпорації Майкрософт
Запис додано 8 вересня 2023 р.
Net-SNMP
Цільові продукти: macOS Big Sur.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2023-38601: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security
Запис додано 27 липня 2023 р.
NSSpellChecker
Цільові продукти: macOS Big Sur.
Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.
Опис: проблему з логікою вирішено завдяки поліпшенню перевірки.
CVE-2023-32444: Міккі Джин (Mickey Jin, @patch1t)
Запис додано 27 липня 2023 р.
OpenLDAP
Цільові продукти: macOS Big Sur.
Вплив: віддалений користувач може спричинити відмову в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-2953: Сандіпан Рой (Sandipan Roy)
OpenSSH
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати доступ до парольних фраз SSH.
Опис: проблему вирішено шляхом додаткових обмежень щодо спостережуваності станів програми.
CVE-2023-42829: Джеймс Даффі (James Duffy, mangoSecure)
Запис додано 22 грудня 2023 р.
PackageKit
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2023-38259: Міккі Джин (Mickey Jin, @patch1t)
PackageKit
Цільові продукти: macOS Big Sur.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з доступом вирішено за допомогою додаткових обмежень.
CVE-2023-38602: Арсеній Костромін (Arsenii Kostromin, 0x3c3e)
Security
Цільові продукти: macOS Big Sur.
Вплив: програма може знімати відбитки пальців користувача.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2023-42831: Джеймс Даффі (James Duffy, mangoSecure)
Запис додано 22 грудня 2023 р.
sips
Цільові продукти: macOS Big Sur.
Вплив: обробка файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2023-32443: Девід Хойт (David Hoyt) із Hoyt LLC
Software Update
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати права кореневого користувача.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.
CVE-2023-42832: Арсеній Костромін (Arsenii Kostromin, 0x3c3e)
Запис додано 22 грудня 2023 р.
SQLite
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити параметри приватності.
Опис: проблему вирішено завдяки додаванню додаткових обмежень на ведення журналу SQLite.
CVE-2023-32422: Гергелі Кальман (Gergely Kalman @gergely_kalman) і Войцех Регула (Wojciech Reguła) із SecuRing (wojciechregula.blog)
Запис додано 8 вересня 2023 р.
SystemMigration
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити параметри приватності.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-32429: Веньчао Лі (Wenchao Li) та Сяолун Бай (Xiaolong Bai) із Hangzhou Orange Shield Information Technology Co., Ltd.
Запис додано 27 липня 2023 р.
tcpdump
Цільові продукти: macOS Big Sur.
Вплив: зловмисник із привілейованим положенням у мережі може виконати довільний код.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2023-1801
Запис додано 22 грудня 2023 р.
Vim
Цільові продукти: macOS Big Sur.
Вплив: виявлено кілька проблем у Vim.
Опис: кілька проблем вирішено завдяки оновленню Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Запис додано 22 грудня 2023 р.
Додаткова подяка
Дякуємо за допомогу Парве Анвару (Parvez Anwar).
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.