macOS Big Sur 11.7.9 のセキュリティコンテンツについて

Apple では、ユーザ保護ほごの観点かんてんから、調査ちょうさが終了しゅうりょうしてパッチやリリースが公開こうかいされるまでは、セキュリティ上じょうの問題もんだいを公開こうかい、説明せつめい、または是認ぜにんいたしません。最新さいしんのリリースについては、「Apple のセキュリティリリース」ページに一覧いちらん形式けいしきでまとめています。

Apple のセキュリティ関連かんれんの文書ぶんしょでは、可能かのうな場合ばあい、脆弱ぜいじゃく性せいの CVE-ID に言及げんきゅうしています。

セキュリティについて詳くわしくは、Apple 製品せいひんのセキュリティに関かんするページを参照さんしょうしてください。

2023 年ねん 7 月がつ 24 日にちリリース

Accessibility

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリが重要じゅうような位置いち情報じょうほうを読よみ取とれる可能かのう性せいがある。

説明せつめい：ログエントリに対たいするプライバシーデータの墨すみ消けしを改善かいぜんすることで、プライバシーの問題もんだいに対処たいしょしました。

CVE-2023-40442：Nick Brook 氏し

2023 年ねん 9 月がつ 8 日にちに追加ついか

Apple Neural Engine

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリがカーネル権限けんげんで任意にんいのコードを実行じっこうできる可能かのう性せいがある。

説明せつめい：メモリ処理しょりを改善かいぜんすることで、この問題もんだいに対処たいしょしました。

CVE-2023-34425：Ant Security Light-Year Lab の pattern-f 氏し (@pattern_F_)

2023 年ねん 7 月がつ 27 日にちに追加ついか

AppSandbox

対象たいしょう OS：macOS Big Sur

影響えいきょう：サンドボックス化かされたプロセスが、サンドボックスの制約せいやくを回避かいひできる可能かのう性せいがある。

説明せつめい：制限せいげんを強化きょうかし、ロジックの脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-32364：Gergely Kalman 氏し (@gergely_kalman)

2023 年ねん 7 月がつ 27 日にちに追加ついか

Assets

対象たいしょう OS：macOS Big Sur

影響えいきょう：ファイルシステムの保護ほごされた部分ぶぶんをアプリに変更へんこうされるおそれがある。

説明せつめい：この問題もんだいは、データ保護ほごを強化きょうかすることで解決かいけつされました。

CVE-2023-35983：Mickey Jin 氏し (@patch1t)

CFNetwork

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリが重要じゅうような位置いち情報じょうほうを読よみ取とれる可能かのう性せいがある。

説明せつめい：ログエントリに対たいするプライバシーデータの墨すみ消けしを改善かいぜんすることで、プライバシーの問題もんだいに対処たいしょしました。

CVE-2023-40392：SecuRing の Wojciech Regula 氏し (wojciechregula.blog)

2023 年ねん 9 月がつ 8 日にちに追加ついか

CUPS

対象たいしょう OS：macOS Big Sur

影響えいきょう：ネットワーク上じょうの特権とっけん的てきな地位ちいを利用りようしたユーザが、重要じゅうような情報じょうほうを漏洩ろうえいさせる可能かのう性せいがある。

説明せつめい：ステート管理かんりを改善かいぜんし、ロジックの問題もんだいに対処たいしょしました。

CVE-2023-34241：Sei K. 氏し

2023 年ねん 7 月がつ 27 日にちに追加ついか

curl

対象たいしょう OS：macOS Big Sur

影響えいきょう：curl に複数ふくすうの脆弱ぜいじゃく性せいがある。

説明せつめい：curl をアップデートして、複数ふくすうの脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-28319

CVE-2023-28320

CVE-2023-28321

CVE-2023-28322

FontParser

対象たいしょう OS：macOS Big Sur

影響えいきょう：フォントファイルを処理しょりすると、任意にんいのコードが実行じっこうされる可能かのう性せいがある。Apple では、iOS 15.7.1 より前まえにリリースされたバージョンの iOS で、この脆弱ぜいじゃく性せいが悪用あくようされた可能かのう性せいがあるという報告ほうこくを把握はあくしています。

説明せつめい：キャッシュの処理しょりを改善かいぜんすることで、この問題もんだいに対処たいしょしました。

CVE-2023-41990：Apple、Kaspersky の Valentin Pashkov 氏し、Mikhail Vinogradov 氏し、Georgy Kucherin 氏し (@kucher1n)、Leonid Bezvershenko 氏し (@bzvr_)、Boris Larin 氏し (@oct0xor)

2023 年ねん 9 月がつ 8 日にちに追加ついか

Grapher

対象たいしょう OS：macOS Big Sur

影響えいきょう：ファイルを処理しょりすると、アプリが予期よきせず終了しゅうりょうしたり、任意にんいのコードが実行じっこうされる可能かのう性せいがある。

説明せつめい：チェックを強化きょうかすることで、この問題もんだいに対処たいしょしました。

CVE-2023-36854：Bool of YunShangHuaAn 氏し (云うん上じょう华安)

CVE-2023-32418：Bool of YunShangHuaAn 氏し (云うん上じょう华安)

Kernel

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリがカーネル権限けんげんで任意にんいのコードを実行じっこうできる可能かのう性せいがある。

説明せつめい：メモリ管理かんりを強化きょうかし、解放かいほう済ずみメモリ使用しよう (use-after-free) の脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-32381：匿名とくめいの研究けんきゅう者しゃ

CVE-2023-32433：Kunlun Lab の Zweig 氏し

CVE-2023-35993：Alibaba Group の Kaitao Xie 氏しおよび Xiaolong Bai 氏し

Kernel

対象たいしょう OS：macOS Big Sur

影響えいきょう：リモートのユーザから、サービス運用うんよう妨害ぼうがいを受うける可能かのう性せいがある。

説明せつめい：チェックを強化きょうかすることで、この問題もんだいに対処たいしょしました。

CVE-2023-38603：Kunlun Lab の Zweig 氏し

2023 年ねん 7 月がつ 27 日にちに追加ついか

Kernel

対象たいしょう OS：macOS Big Sur

影響えいきょう：リモートユーザにシステムを突然とつぜん終了しゅうりょうされたり、カーネルメモリを破損はそんされたりする可能かのう性せいがある。

説明せつめい：メモリ処理しょりを強化きょうかし、バッファオーバーフローの脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-38590：Kunlun Lab の Zweig 氏し

2023 年ねん 7 月がつ 27 日にちに追加ついか

Kernel

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリがカーネル権限けんげんで任意にんいのコードを実行じっこうできる可能かのう性せいがある。

説明せつめい：メモリ管理かんりを強化きょうかし、解放かいほう済ずみメモリ使用しよう (use-after-free) の脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-38598：Mohamed GHANNAM 氏し (@_simo36)

2023 年ねん 7 月がつ 27 日にちに追加ついか

Kernel

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリがカーネル権限けんげんで任意にんいのコードを実行じっこうできる可能かのう性せいがある。

説明せつめい：配列はいれつ境界きょうかいチェック機能きのうを改善かいぜんすることで、領域りょういき外がい読よみ込こみの脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-37285：Arsenii Kostromin 氏し (0x3c3e)

2023 年ねん 7 月がつ 27 日にちに追加ついか

Kernel

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリがカーネル権限けんげんで任意にんいのコードを実行じっこうできる可能かのう性せいがある。

説明せつめい：入力にゅうりょく検証けんしょうを強化きょうかすることで、領域りょういき外がい書かき込こみの脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-38604：匿名とくめいの研究けんきゅう者しゃ

2023 年ねん 7 月がつ 27 日にちに追加ついか

Kernel

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリが重要じゅうようなカーネル状態じょうたいを変更へんこうできる可能かのう性せいがある。Apple では、iOS 15.7.1 より前まえにリリースされたバージョンの iOS で、この脆弱ぜいじゃく性せいが悪用あくようされた可能かのう性せいがあるという報告ほうこくを把握はあくしています。

説明せつめい：ステート管理かんりを改善かいぜんし、この問題もんだいに対処たいしょしました。

CVE-2023-38606：Kaspersky の Valentin Pashkov 氏し、Mikhail Vinogradov 氏し、Georgy Kucherin 氏し (@kucher1n)、Leonid Bezvershenko 氏し (@bzvr_)、Boris Larin 氏し (@oct0xor)

Kernel

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリがカーネル権限けんげんで任意にんいのコードを実行じっこうできる可能かのう性せいがある。

説明せつめい：メモリ処理しょりを改善かいぜんすることで、この問題もんだいに対処たいしょしました。

CVE-2023-32441：STAR Labs SG Pte. Ltd. の Peter Nguyễn Vũ Hoàng 氏し (@peternguyen14)

Kernel

対象たいしょう OS：macOS Big Sur

影響えいきょう：リモートのユーザから、サービス運用うんよう妨害ぼうがいを受うける可能かのう性せいがある。

説明せつめい：チェックを強化きょうかすることで、この問題もんだいに対処たいしょしました。

CVE-2023-38603：Kunlun Lab の Zweig 氏し

2023 年ねん 12 月がつ 22 日にちに追加ついか

libxpc

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリがルート権限けんげんを取得しゅとくできる可能かのう性せいがある。

説明せつめい：検証けんしょうを強化きょうかして、パスの処理しょりにおける脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-38565：Tencent Security Xuanwu Lab (xlab.tencent.com) の Zhipeng Huo 氏し (@R3dF09)

libxpc

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリからサービス運用うんよう妨害ぼうがいを受うける可能かのう性せいがある。

説明せつめい：チェックを強化きょうかし、ロジックの脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-38593：Noah Roskin-Frazee 氏し

Music

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリがプライバシーの環境かんきょう設定せっていを回避かいひする可能かのう性せいがある。

説明せつめい：シンボリックリンクの検証けんしょうを改善かいぜんすることで、この問題もんだいに対処たいしょしました。

CVE-2023-38571：Gergely Kalman 氏し (@gergely_kalman)

2023 年ねん 7 月がつ 27 日にちに追加ついか

ncurses

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリによって、アプリを突然とつぜん終了しゅうりょうされたり、任意にんいのコードを実行じっこうされたりする可能かのう性せいがある。

説明せつめい：検証けんしょうを強化きょうかし、メモリ破損はそんの脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-29491：Microsoft の Jonathan Bar Or 氏し、Microsoft の Emanuele Cozzi 氏し、Microsoft の Michael Pearse 氏し

2023 年ねん 9 月がつ 8 日にちに追加ついか

Net-SNMP

対象たいしょう OS：macOS Big Sur

影響えいきょう：ファイルシステムの保護ほごされた部分ぶぶんをアプリに変更へんこうされるおそれがある。

説明せつめい：この問題もんだいは、脆弱ぜいじゃくなコードを削除さくじょすることで解決かいけつされました。

CVE-2023-38601：Offensive Security の Csaba Fitzl 氏し (@theevilbit)

2023 年ねん 7 月がつ 27 日にちに追加ついか

NSSpellChecker

対象たいしょう OS：macOS Big Sur

影響えいきょう：サンドボックス化かされたプロセスが、サンドボックスの制約せいやくを回避かいひできる可能かのう性せいがある。

説明せつめい：検証けんしょうを強化きょうかし、ロジックの脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-32444：Mickey Jin 氏し (@patch1t)

2023 年ねん 7 月がつ 27 日にちに追加ついか

OpenLDAP

対象たいしょう OS：macOS Big Sur

影響えいきょう：リモートのユーザから、サービス運用うんよう妨害ぼうがいを受うける可能かのう性せいがある。

説明せつめい：メモリ処理しょりを改善かいぜんすることで、この問題もんだいに対処たいしょしました。

CVE-2023-2953：Sandipan Roy 氏し

OpenSSH

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリが SSH のパスフレーズにアクセスできる可能かのう性せいがある。

説明せつめい：アプリの状態じょうたいのオブザーバビリティ (可か観測かんそく性せい) について追加ついかで制限せいげんを設もうけて、この問題もんだいに対処たいしょしました。

CVE-2023-42829：James Duffy 氏し (mangoSecure)

2023 年ねん 12 月がつ 22 日にちに追加ついか

PackageKit

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリが重要じゅうようなユーザデータにアクセスできる可能かのう性せいがある。

説明せつめい：制限せいげんを強化きょうかし、ロジックの脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-38259：Mickey Jin 氏し (@patch1t)

PackageKit

対象たいしょう OS：macOS Big Sur

影響えいきょう：ファイルシステムの保護ほごされた部分ぶぶんをアプリに変更へんこうされるおそれがある。

説明せつめい：制限せいげんを強化きょうかし、アクセス権けんの問題もんだいに対処たいしょしました。

CVE-2023-38602：Arsenii Kostromin 氏し (0x3c3e)

Security

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリがユーザの指紋しもんを採とることができる場合ばあいがある。

説明せつめい：この問題もんだいは、脆弱ぜいじゃくなコードを削除さくじょすることで解決かいけつされました。

CVE-2023-42831：James Duffy 氏し (mangoSecure)

2023 年ねん 12 月がつ 22 日にちに追加ついか

sips

対象たいしょう OS：macOS Big Sur

影響えいきょう：ファイルを処理しょりすると、サービス運用うんよう妨害ぼうがいを受うける可能かのう性せいや、メモリのコンテンツが漏洩ろうえいする可能かのう性せいがある。

説明せつめい：入力にゅうりょく検証けんしょうを強化きょうかすることで、領域りょういき外がい読よみ込こみに対処たいしょしました。

CVE-2023-32443：Hoyt LLC の David Hoyt 氏し

Software Update

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリがルート権限けんげんを取得しゅとくできる可能かのう性せいがある。

説明せつめい：ステート処理しょりを強化きょうかすることで、競合きょうごう状態じょうたいの脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-42832：Arsenii Kostromin 氏し (0x3c3e)

2023 年ねん 12 月がつ 22 日にちに追加ついか

SQLite

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリがプライバシーの環境かんきょう設定せっていを回避かいひする可能かのう性せいがある。

説明せつめい：追加ついかの SQLite ログ収集しゅうしゅうの制限せいげんを追加ついかすることで、この問題もんだいに対処たいしょしました。

CVE-2023-32422：Gergely Kalman 氏し (@gergely_kalman)、SecuRing の Wojciech Regula 氏し (wojciechregula.blog)

2023 年ねん 9 月がつ 8 日にちに追加ついか

SystemMigration

対象たいしょう OS：macOS Big Sur

影響えいきょう：アプリがプライバシーの環境かんきょう設定せっていを回避かいひする可能かのう性せいがある。

説明せつめい：チェックを強化きょうかすることで、この問題もんだいに対処たいしょしました。

CVE-2023-32429：Hangzhou Orange Shield Information Technology Co., Ltd. の Wenchao Li 氏しおよび Xiaolong Bai 氏し

2023 年ねん 7 月がつ 27 日にちに追加ついか

tcpdump

対象たいしょう OS：macOS Big Sur

影響えいきょう：ネットワーク上じょうで特権とっけん的てきな地位ちいを悪用あくようした攻撃こうげき者しゃにより、任意にんいのコードを実行じっこうされる可能かのう性せいがある。

説明せつめい：入力にゅうりょく検証けんしょうを強化きょうかすることで、領域りょういき外がい書かき込こみの脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-1801

2023 年ねん 12 月がつ 22 日にちに追加ついか

Vim

対象たいしょう OS：macOS Big Sur

影響えいきょう：Vim に複数ふくすうの脆弱ぜいじゃく性せいがある。

説明せつめい：Vim をアップデートして、複数ふくすうの脆弱ぜいじゃく性せいに対処たいしょしました。

CVE-2023-2426

CVE-2023-2609

CVE-2023-2610

2023 年ねん 12 月がつ 22 日にちに追加ついか

Mail

Parvez Anwar 氏しのご協力きょうりょくに感謝かんしゃいたします。