Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. на сторінці Оновлення системи безпеки Apple.
Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, див. сторінку Безпека продуктів Apple.
macOS Big Sur 11.7.7
Дата випуску: 18 травня 2023 р.
Accessibility
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити параметри приватності.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-32388: користувач Kirin (@Pwnrin)
AppleEvents
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити параметри приватності.
Опис: цю проблему вирішено за допомогою покращеного редагування конфіденційної інформації.
CVE-2023-28191: Міккі Джин (Mickey Jin, @patch1t)
AppleMobileFileIntegrity
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити параметри приватності.
Опис: проблему вирішено завдяки вдосконаленню дозволів.
CVE-2023-32411: Міккі Джин (Mickey Jin, @patch1t)
AppleMobileFileIntegrity
Цільові продукти: macOS Big Sur.
Вплив: програма може вставити код у конфіденційні двійкові файли, що постачаються з Xcode.
Опис: цю проблему усунено завдяки обмеженню часу роботи програми для відповідних двійкових файлів на системному рівні.
CVE-2023-32383: Джеймс Даффі (James Duffy, mangoSecure)
Запис додано 21 грудня 2023 р.
Contacts
Цільові продукти: macOS Big Sur.
Вплив: за допомогою програми можна переглядати незахищені дані користувачів.
Опис: проблему з приватністю вирішено завдяки вдосконаленню обробки тимчасових файлів.
CVE-2023-32386: користувач Kirin (@Pwnrin)
CoreCapture
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-28181: Tingting Yin з Університету Цінхуа
CUPS
Цільові продукти: macOS Big Sur.
Вплив: неавторизований користувач може отримати доступ до нещодавно роздрукованих документів.
Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.
CVE-2023-32360: Gerhard Muth
dcerpc
Цільові продукти: macOS Big Sur.
Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми чи виконання довільного коду.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2023-32387: Dimitrios Tatsis із компанії Cisco Talos
Dev Tools
Цільові продукти: macOS Big Sur.
Вплив: програми з ізольованого середовища могли збирати системні журнали.
Опис: проблему вирішено завдяки вдосконаленню дозволів.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-32392: користувач Adam M.
Запис оновлено 21 грудня 2023 р.
ImageIO
Цільові продукти: macOS Big Sur.
Вплив: обробка зображення може призводити до виконання довільного коду.
Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
IOSurface
Цільові продукти: macOS Big Sur.
Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2023-32410: користувач hou xuewei (@p1ay8y3ar) з VMK MSU
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати права кореневого користувача.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) із Synacktiv (@Synacktiv), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2023-32398: Адам Дупе (Adam Doupé) з компанії ASU SEFCOM
LaunchServices
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити перевірки Gatekeeper.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) із SecuRing (wojciechregula.blog)
libxpc
Цільові продукти: macOS Big Sur.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2023-32369: Jonathan Bar Or, Anurag Bohra й Michael Pearse із корпорації Майкрософт
libxpc
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати права кореневого користувача.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2023-32405: Thijs Alkemade (@xnyhps) з компанії Computest Sector 7
Metal
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити параметри приватності.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2023-32407: Гергелі Калман (Gergely Kalman, @gergely_kalman)
Model I/O
Цільові продукти: macOS Big Sur.
Вплив: обробка тривимірної моделі може призводити до виконання довільного коду.
Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2023-32380: Mickey Jin (@patch1t)
Model I/O
Цільові продукти: macOS Big Sur.
Вплив: обробка тривимірної моделі може призводити до розкриття пам’яті процесів.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2023-32382: Mickey Jin (@patch1t)
NetworkExtension
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.
CVE-2023-32403: користувач Adam M.
Запис оновлено 21 грудня 2023 р.
PackageKit
Цільові продукти: macOS Big Sur.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Цільові продукти: macOS Big Sur.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Цільові продукти: macOS Big Sur.
Вплив: аналіз документа Office може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.
CVE-2023-32401: Хольгер Фюрманнек (Holger Fuhrmannek) із Deutsche Telekom Security GmbH від імені BSI (Федерального управління з інформаційної безпеки Німеччини)
Запис додано 21 грудня 2023 р.
Sandbox
Цільові продукти: macOS Big Sur.
Вплив: у програми може лишатися доступ до файлів конфігурації системи навіть після відкликання дозволу.
Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa з компанії FFRI Security, Inc., користувач Kirin (@Pwnrin) і Csaba Fitzl (@theevilbit) з компанії Offensive Security
Shell
Цільові продукти: macOS Big Sur.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2023-32397: Арсеній Костромін (Arsenii Kostromin, 0x3c3e)
Telephony
Цільові продукти: macOS Big Sur.
Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми чи виконання довільного коду.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2023-32412: Ivan Fratric із підрозділу Google Project Zero
Додаткова подяка
libxml2
Дякуємо за допомогу компанії OSS-Fuzz і користувачу Ned Williamson із підрозділу Google Project Zero.
Reminders
Дякуємо за допомогу користувачу Kirin (@Pwnrin).
Security
Дякуємо за допомогу користувачу James Duffy (mangoSecure).
Wi-Fi
Дякуємо за допомогу користувачу Adam M.
Запис оновлено 21 грудня 2023 р.
Wi-Fi Connectivity
Дякуємо за допомогу користувачу Adam M.
Запис оновлено 21 грудня 2023 р.