В понедельник Apple не только обновила macOS Ventura, но и выпустила macOS Monterey 12.6.4 и Big Sur 11.7.5, две операционные системы, предшествовавшие Ventura. Поскольку Monterey и Big Sur старше, Apple не обновляет их функциями, но время от времени выпускает обновления безопасности. В стандартных примечаниях к выпуску просто говорится, что обновление «предоставляет важные исправления безопасности и рекомендуется для всех пользователей».
Вот подробности обновления безопасности
Содержание статьи
Обновления безопасности macOS Monterey 12.6.4
следующие обновления безопасности предназначены для macOS Monterey 12.7.4, хотя некоторые из них предназначены как для компьютеров Monterey, так и для машин Big Sur:
Яблочный нейронный движок
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Приложение может выполнять произвольный код с привилегиями ядра.
- Описание: Проблема устранена путем улучшенной обработки памяти.
- CVE-2023-23540: Мохамед ГАННАМ (@_simo36)
AppleMobileFileIntegrity
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Пользователь может получить доступ к защищенным частям файловой системы
- Описание: Проблема устранена путем улучшенных проверок.
- CVE-2023-23527: Микки Джин (@patch1t)
Утилита архивации
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Архив может быть в состоянии обойти Gatekeeper
- Описание: Проблема устранена путем улучшенных проверок.
- CVE-2023-27951: Брэндон Далтон из Red Canary и Чаба Фицл (@theevilbit) из Offensive Security
Календарь
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Импорт вредоносного приглашения календаря может привести к краже информации о пользователе.
- Описание: Несколько проблем проверки были устранены путем улучшенной очистки ввода.
- CVE-2023-27961: Риза Сабунку (@rizasabuncu)
Синхронизация цвета
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Приложение может читать произвольные файлы
- Описание: Проблема устранена путем улучшенных проверок.
- CVE-2023-27955: Чон О Кеа
Коммуникационный центр
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Приложение может вызвать неожиданное завершение работы системы или запись в память ядра.
- Описание: Проблема записи за пределами буфера устранена путем улучшенной проверки ввода.
- CVE-2023-27936: Тинтинг Инь из Университета Цинхуа
dcerpc
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Удаленный пользователь может вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
- Описание. Проблема устранена путем улучшенной проверки границ.
- CVE-2023-27935: Александр Николич из Cisco Talos
dcerpc
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Удаленный пользователь может вызвать неожиданное завершение работы системы или повреждение памяти ядра.
- Описание: Проблема устранена путем улучшенной обработки памяти.
- CVE-2023-27953: Александр Николич из Cisco Talos
- CVE-2023-27958: Александр Николич из Cisco Talos
Фундамент
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Анализ вредоносного списка plist может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
- Описание. Целочисленное переполнение устранено путем улучшенной проверки ввода.
- CVE-2023-27937: анонимный исследователь
ImageIO
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Обработка вредоносного файла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
- Описание: Чтение за пределами границ устранено путем улучшенной проверки границ.
- CVE-2023-27946: Микки Джин (@patch1t)
ядро
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Приложение может выполнять произвольный код с привилегиями ядра.
- Описание: Проблема использования после бесплатного использования устранена путем улучшенного управления памятью.
- CVE-2023-23514: Ксинру Чи из Pangu Lab и Нед Уильямсон из Google Project Zero
ядро
- Доступны для: macOS Монтерей
- Влияние: Приложение с привилегиями root может выполнять произвольный код с привилегиями ядра.
- Описание: Проблема устранена путем улучшенной обработки памяти.
- CVE-2023-27933: sqrtpwn
ядро
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Приложение может раскрывать память ядра
- Описание: Проблема проверки устранена путем улучшенной очистки ввода.
- CVE-2023-28200: Арсений Костромин (0x3c3e)
Модель ввода/вывода
- Доступны для: macOS Монтерей
- Влияние: Обработка вредоносного файла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
- Описание: Чтение за пределами допустимого диапазона устранено путем улучшенной проверки ввода.
- CVE-2023-27949: Микки Джин (@patch1t)
NetworkExtension
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Пользователь с привилегированным положением в сети может подделать VPN-сервер, настроенный на аутентификацию только EAP на устройстве.
- Описание: Проблема устранена путем улучшенной проверки подлинности.
- CVE-2023-28182: Чжуовэй Чжан
ПакетКомплект
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Приложение может изменять защищенные части файловой системы.
- Описание: Логическая проблема устранена путем улучшенных проверок.
- CVE-2023-23538: Микки Джин (@patch1t)
- CVE-2023-27962: Микки Джин (@patch1t)
Подкасты
- Доступны для: macOS Монтерей
- Влияние: Приложение может иметь доступ к конфиденциальным данным пользователя.
- Описание: Проблема устранена путем улучшенных проверок.
- CVE-2023-27942: Микки Джин (@patch1t)
Песочница
- Доступны для: macOS Монтерей
- Влияние: Приложение может изменять защищенные части файловой системы.
- Описание: Логическая проблема устранена путем улучшенных проверок.
- CVE-2023-23533: Микки Джин (@patch1t), Ко М. Накагава из FFRI Security, Inc. и Чаба Фицл (@theevilbit) из Offensive Security
Песочница
- Доступны для: macOS Монтерей
- Влияние: Приложение может обойти настройки конфиденциальности
- Описание: Логическая проблема устранена путем улучшенной проверки.
- CVE-2023-28178: Йигит Джан ЙИЛМАЗ (@yilmazcanyigit)
Ярлыки
- Доступны для: macOS Монтерей
- Воздействие. Ярлык может использовать конфиденциальные данные с определенными действиями без запроса пользователя.
- Описание. Проблема устранена путем дополнительной проверки разрешений.
- CVE-2023-27963: Джубаер Альнази Джабин из группы компаний TRS и Венчао Ли и Сяолун Бай из Alibaba Group
Настройки системы
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Приложение может иметь доступ к конфиденциальным данным пользователя.
- Описание: Проблема конфиденциальности устранена путем улучшенного редактирования личных данных для записей журнала.
- CVE-2023-23542: анонимный исследователь
Настройки системы
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Приложение может считывать конфиденциальную информацию о местоположении.
- Описание: Проблема с разрешениями устранена путем улучшенной проверки.
- CVE-2023-28192: Гильерме Рэмбо из Best Buddy Apps (rambo.codes)
Вим
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Несколько проблем в Vim
- Описание: Несколько проблем устранены путем обновления Vim до версии 9.0.1191.
- CVE-2023-0433
- CVE-2023-0512
XPC
- Доступны для: macOS Монтерей/macOS Биг-Сур
- Влияние: Приложение может выйти из своей песочницы
- Описание: Эта проблема устранена с помощью нового права.
- CVE-2023-27944: Микки Джин (@patch1t)
Обновления безопасности macOS Big Sur 11.7.5
В дополнение к вышеуказанным обновлениям, следующие исправления безопасности предназначены только для macOS Big Sur 11.7.5:
AppleAVD
- Доступны для: macOS Биг Сур
- Влияние: Приложение может выполнять произвольный код с привилегиями ядра.
- Описание: Проблема использования после бесплатного использования устранена путем улучшенного управления памятью.
- CVE-2022-26702: анонимный исследователь Антонио Зекич (@antoniozekic) и Джон Аакерблом (@jaakerblom)
Углеродное ядро
- Доступны для: macOS Биг Сур
- Влияние: Обработка вредоносного образа может привести к раскрытию памяти процесса.
- Описание: Проблема устранена путем улучшенных проверок.
- CVE-2023-23534: Микки Джин (@patch1t)
Найди мой
- Доступны для: macOS Биг Сур
- Влияние: Приложение может считывать конфиденциальную информацию о местоположении.
- Описание: Проблема конфиденциальности устранена путем улучшенного редактирования личных данных для записей журнала.
- CVE-2023-23537: анонимный исследователь
Службы идентификации
- Доступны для: macOS Биг Сур
- Влияние: Приложение может иметь доступ к информации о контактах пользователя.
- Описание: Проблема конфиденциальности устранена путем улучшенного редактирования личных данных для записей журнала.
- CVE-2023-27928: Чаба Фицл (@theevilbit) из Offensive Security
ImageIO
- Доступны для: macOS Биг Сур
- Влияние: Обработка вредоносного образа может привести к раскрытию памяти процесса.
- Описание: Проблема устранена путем улучшенной обработки памяти.
- CVE-2023-23535: рюдзаки
Как обновиться до macOS
Apple рекомендует всем пользователям как можно скорее установить обновления. Чтобы получить их на своем компьютере, следуйте этим инструкциям:
- Откройте Системные настройки.
- Нажмите на Обновление программного обеспечения.
- Ваш Mac потратит минуту или около того на проверку обновлений, если обновление доступно для вашего Mac, у вас будет возможность нажать Обнови сейчас а затем загрузите установщик обновления для macOS.
- Пока установщик загружается, вы сможете продолжать использовать свой Mac. После загрузки установщика вы можете нажать, чтобы установить новое обновление.