Уязвимость обхода настроек конфиденциальности через некорректную валидацию символьных ссылок в macOS Big Sur, macOS Monterey и macOS Ventura
Описание
Проблема решена благодаря улучшенной валидации символьных ссылок. Приложение было способно обойти настройки конфиденциальности.
Затронутые версии ПО
- macOS Big Sur < 11.7.9
- macOS Monterey < 12.6.8
- macOS Ventura < 13.5
Тип уязвимости
Обход настроек конфиденциальности
Ссылки
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 11.7.9 (исключая)Версия от 12.0 (включая) до 12.6.8 (исключая)Версия от 13.0 (включая) до 13.5 (исключая)
Одно из
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
EPSS
Процентиль: 94%
0.12144
Средний
7.5 High
CVSS3
Дефекты
NVD-CWE-noinfo
Связанные уязвимости
CVSS3: 7.5
github
больше 2 лет назад
This issue was addressed with improved validation of symlinks. This issue is fixed in macOS Big Sur 11.7.9, macOS Monterey 12.6.8, macOS Ventura 13.5. An app may be able to bypass Privacy preferences.
CVSS3: 7.5
fstec
больше 2 лет назад
Уязвимость компонента Privacy Preferences операционных систем macOS, позволяющая нарушителю обойти настройки конфиденциальности
EPSS
Процентиль: 94%
0.12144
Средний
7.5 High
CVSS3
Дефекты
NVD-CWE-noinfo