關於 macOS Big Sur 11.7.5 的保安內容

為保障顧客的安全，在完成調查並提供修補程式或更新版本之前，Apple 將不會披露、討論或確認保安問題。最近更新版本已列於 Apple 保安更新網頁。

Apple 保安文件於安全漏洞方面會儘可能參照 CVE-ID。

有關保安的詳情，請參閱 Apple 產品保安網頁。

2023 年 3 月 27 日發佈

Apple Neural Engine

適用於：macOS Big Sur

影響：app 或可以核心權限執行任意程式碼

說明：改進記憶體處理機制後，已解決此問題。

CVE-2023-23540：Mohamed GHANNAM (@_simo36)

AppleAVD

適用於：macOS Big Sur

影響：app 或可以核心權限執行任意程式碼

說明：改進記憶體管理機制後，已解決使用釋放後記憶體出錯問題。

CVE-2022-26702：匿名研究員、Antonio Zekic (@antoniozekic) 和 John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

適用於：macOS Big Sur

影響：用戶可能得以存取檔案系統的受保護部分

說明：改進檢查機制後，已解決此問題。

CVE-2023-23527：Mickey Jin (@patch1t)

Archive Utility

適用於：macOS Big Sur

影響：封存檔可能得以規避「守衛」

說明：改進檢查機制後，已解決此問題。

CVE-2023-27951：Red Canary 的 Brandon Dalton (@partyD0lphin) 和 Offensive Security 的 Csaba Fitzl (@theevilbit)

2023 年 5 月 11 日更新項目

Calendar

適用於：macOS Big Sur

影響：輸入惡意製作的日曆邀請可能會洩漏用戶資料

說明：已透過改進輸入清理機制，處理多項驗證問題。

CVE-2023-27961：Rıza Sabuncu (@rizasabuncu)

Carbon Core

適用於：macOS Big Sur

影響：處理惡意製作的影像可能導致披露程序記憶體

說明：改進檢查機制後，已解決此問題。

CVE-2023-23534：Mickey Jin (@patch1t)

ColorSync

適用於：macOS Big Sur

影響：app 可能得以讀取任意檔案

說明：改進檢查機制後，已解決此問題。

CVE-2023-27955：JeongOhKyea

CommCenter

適用於：macOS Big Sur

影響：app 可能得以導致系統意外終止或寫入核心記憶體

說明：改進輸入驗證機制後，已解決超出界限的寫入問題。

CVE-2023-27936：Tsinghua University 的 Tingting Yin

dcerpc

適用於：macOS Big Sur

影響：遠端用戶可能得以導致 app 意外終止或執行任意程式碼

說明：改進界限檢查機制後，已解決此問題。

CVE-2023-27935：Cisco Talos 的 Aleksandar Nikolic

dcerpc

適用於：macOS Big Sur

影響：遙距用戶可能得以令系統意外終止或損毀核心記憶體

說明：改進記憶體處理機制後，已解決此問題。

CVE-2023-27953：Cisco Talos 的 Aleksandar Nikolic

CVE-2023-27958：Cisco Talos 的 Aleksandar Nikolic

Find My

適用於：macOS Big Sur

影響：app 可能得以讀取敏感的位置資料

說明：改進記錄輸入項目的私人資料修訂機制後，已解決私隱問題。

CVE-2023-23537：匿名研究員

FontParser

適用於：macOS Big Sur

影響：處理字體檔案可能導致執行任意程式碼

說明：改進輸入驗證機制後，已解決超出界限的寫入問題。

CVE-2023-32366：Baidu Security 的 Ye Zhang (@VAR10CK)

2023 年 12 月 21 日新增項目

Foundation

適用於：macOS Big Sur

影響：剖析惡意製作的 plist 可能導致 app 無故終止或執行任意程式碼

說明：改進輸入驗證機制後，已解決整數溢位問題。

CVE-2023-27937：匿名研究員

Identity Services

適用於：macOS Big Sur

影響：App 可能得以取用關於用戶聯絡人的資料

說明：改進記錄輸入項目的私人資料修訂機制後，已解決私隱問題。

CVE-2023-27928：Offensive Security 的 Csaba Fitzl (@theevilbit)

ImageIO

適用於：macOS Big Sur

影響：處理惡意製作的檔案可能導致 app 意外終止或執行任意程式碼

說明：改進界限檢查機制後，已解決超出界限的讀取問題。

CVE-2023-27946：Mickey Jin (@patch1t)

ImageIO

適用於：macOS Big Sur

影響：處理惡意製作的影像可能導致披露程序記憶體

說明：改進記憶體處理機制後，已解決此問題。

CVE-2023-23535：ryuzaki

IOAcceleratorFamily

適用於：macOS Big Sur

影響：app 或可以核心權限執行任意程式碼

說明：改進記憶體管理機制後，已解決使用釋放後記憶體出錯問題。

CVE-2023-32378：Murray Mike

2023 年 12 月 21 日新增項目

Kernel

適用於：macOS Big Sur

影響：app 可能得以披露核心記憶體

說明：存在超出界限的讀取問題，導致洩漏核心記憶體。改進輸入驗證機制後，已解決此問題。

CVE-2023-27941：Arsenii Kostromin (0x3c3e)

CVE-2023-28199：Arsenii Kostromin (0x3c3e)

2023 年 5 月 11 日新增項目，於 2023 年 12 月 21 日更新

Kernel

適用於：macOS Big Sur

影響：app 或可以核心權限執行任意程式碼

說明：改進界限檢查機制後，已解決此問題。

CVE-2023-23536：Félix Poulin-Bélanger 和 David Pan Ogea

2023 年 5 月 11 日新增項目，於 2023 年 12 月 21 日更新

Kernel

適用於：macOS Big Sur

影響：app 或可以核心權限執行任意程式碼

說明：改進記憶體管理機制後，已解決使用釋放後記憶體出錯問題。

CVE-2023-23514：Pangu Lab 的 Xinru Chi 和 Google Project Zero 的 Ned Williamson

Kernel

適用於：macOS Big Sur

影響：app 可能得以披露核心記憶體

說明：改進輸入清理機制後，已解決驗證問題。

CVE-2023-28200：Arsenii Kostromin (0x3c3e)

Kernel

適用於：macOS Big Sur

影響：app 可能得以導致阻斷服務

說明：改進輸入驗證機制後，已解決整數溢位問題。

CVE-2023-28185：STAR Labs SG Pte.Ltd.

2023 年 12 月 21 日新增項目

LaunchServices

適用於：macOS Big Sur

影響：app 可能得以獲得根權限

說明：改進檢查機制後，已解決問題。

CVE-2023-23525：Mickey Jin (@patch1t)

2023 年 5 月 11 日新增項目

libpthread

適用於：macOS Big Sur

影響：app 或可以核心權限執行任意程式碼

說明：改進檢查機制後，已解決類型混淆問題。

CVE-2023-41075：Kunlun Lab 的 Zweig

2023 年 12 月 21 日新增項目

Mail

適用於：macOS Big Sur

影響：應用程式可能可以檢視敏感資料

說明：改進檢查機制後，已解決此問題。

CVE-2023-28189：Mickey Jin (@patch1t)

2023 年 5 月 11 日新增項目

Messages

適用於：macOS Big Sur

影響：app 可能得以取用用戶敏感資料

說明：新增 Sandbox 限制後，已解決存取問題。

CVE-2023-28197：Joshua Jones

2023 年 12 月 21 日新增項目

NetworkExtension

適用於：macOS Big Sur

影響：具有網絡特殊權限的用戶，可能得以在裝置上偽造設定為僅使用 EAP 認證的 VPN 伺服器

說明：已透過改進驗證機制，處理這個問題。

CVE-2023-28182：Zhuowei Zhang

PackageKit

適用於：macOS Big Sur

影響：app 可能得以修改檔案系統的受保護部分

說明：改進檢查機制後，已解決邏輯問題。

CVE-2023-27962：Mickey Jin (@patch1t)

Podcast

適用於：macOS Big Sur

影響：app 可能得以取用用戶敏感資料

說明：改進檢查機制後，已解決此問題。

CVE-2023-27942：Mickey Jin (@patch1t)

2023 年 5 月 11 日新增項目

System Settings

適用於：macOS Big Sur

影響：app 可能得以取用用戶敏感資料

說明：改進記錄輸入項目的私人資料修訂機制後，已解決私隱問題。

CVE-2023-23542：Adam M.

2023 年 12 月 21 日更新項目

System Settings

適用於：macOS Big Sur

影響：app 可能得以讀取敏感的位置資料

說明：改進驗證機制後，已解決許可問題。

CVE-2023-28192：Best Buddy Apps (rambo.codes) 的 Guilherme Rambo

Vim

適用於：macOS Big Sur

影響：Vim 存在多項問題

說明：已透過更新至 Vim 版本 9.0.1191，處理多個問題。

CVE-2023-0433

CVE-2023-0512

XPC

適用於：macOS Big Sur

影響：app 可能得以打破其 sandbox

說明：已透過採用全新的授權機制，處理這個問題。

CVE-2023-27944：Mickey Jin (@patch1t)

Activation Lock

我們特此感謝 Christian Mina 提供協助。

AppleMobileFileIntegrity

我們特此感謝 SecuRing (wojciechregula.blog) 的 Wojciech Reguła (@_r3ggi) 提供協助。

CoreServices

我們特此感謝 Mickey Jin (@patch1t) 提供協助。

NSOpenPanel

我們特此感謝 Alexandre Colucci (@timacfr) 提供協助。

Wi-Fi

我們特此感謝一位匿名研究員提供協助。