Despre conținutul de securitate din macOS Big Sur 11.7.7
Acest document descrie conținutul de securitate din macOS Big Sur 11.7.7.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la Securitatea produselor Apple.
macOS Big Sur 11.7.7
Data lansării: 18 mai 2023
Accessibility
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație să injecteze codul în codurile binare sensibile grupate cu Xcode
Descriere: această problemă a fost rezolvată prin forțarea unui runtime consolidat pe codurile binare afectate la nivel de sistem.
CVE-2023-32383: James Duffy (mangoSecure)
Intrare adăugată pe 21 decembrie 2023
Contacts
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate observa date de utilizator neprotejate
Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a fișierelor temporare.
CVE-2023-32386: Kirin (@Pwnrin)
CoreCapture
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-28181: Tingting Yin de la Tsinghua University
CUPS
Disponibilitate pentru: macOS Big Sur
Impact: un utilizator neautentificat poate accesa documente imprimate recent
Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.
CVE-2023-32360: Gerhard Muth
dcerpc
Disponibilitate pentru: macOS Big Sur
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-32387: Dimitrios Tatsis (Cisco Talos)
Dev Tools
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație din sandbox ar putea colecta jurnale de sistem
Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-32392: Adam M.
Intrare actualizată pe 21 decembrie 2023
ImageIO
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm în colaborare cu Trend Micro Zero Day Initiative
IOSurface
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate scurge informații sensibile privind starea kernelului
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) (Synacktiv) (@Synacktiv) în colaborare cu Trend Micro Zero Day Initiative
Kernel
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
LaunchServices
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate ocoli verificările Gatekeeper
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) (SecuRing) (wojciechregula.blog)
libxpc
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) și Michael Pearse (Microsoft)
libxpc
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-32405: Thijs Alkemade (@xnyhps) (Computest Sector 7)
Metal
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui model 3D poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2023-32380: Mickey Jin (@patch1t)
Model I/O
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui model 3D poate cauza divulgarea memoriei de proces
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2023-32382: Mickey Jin (@patch1t)
NetworkExtension
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-32403: Adam M.
Intrare actualizată pe 21 decembrie 2023
PackageKit
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Disponibilitate pentru: macOS Big Sur
Impact: analizarea unui document Office poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2023-32401: Holger Fuhrmannek (Deutsche Telekom Security GmbH) în numele BSI (Oficiul Federal German pentru Securitatea Informației)
Intrare adăugată pe 21 decembrie 2023
Sandbox
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate păstra accesul la fișierele de configurație a sistemului după revocarea permisiunii
Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) și Csaba Fitzl (@theevilbit) (Offensive Security)
Shell
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Disponibilitate pentru: macOS Big Sur
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
Alte mențiuni
libxml2
Dorim să le mulțumim lui OSS-Fuzz și lui Ned Williamson (Google Project Zero) pentru asistența acordată.
Reminders
Dorim să-i mulțumim lui Kirin (@Pwnrin) pentru asistența acordată.
Securitate
Dorim să-i mulțumim lui James Duffy (mangoSecure) pentru asistența acordată.
Wi-Fi
Am dori să îi mulțumim lui Adam M. pentru asistență.
Intrare actualizată pe 21 decembrie 2023
Wi-Fi Connectivity
Am dori să îi mulțumim lui Adam M. pentru asistență.
Intrare actualizată pe 21 decembrie 2023
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.