Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
macOS Monterey 12.6.4
Udgivet den 27. marts 2023
Apple Neural Engine
Fås til: macOS Monterey
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
Fås til: macOS Monterey
Effekt: En bruger kan få adgang til beskyttede dele af arkivsystemet
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Fås til: macOS Monterey
Effekt: Et arkiv kan muligvis omgå Gatekeeper
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) fra Red Canary og Csaba Fitzl (@theevilbit) fra Offensive Security
Post opdateret 8. juni 2023
Calendar
Fås til: macOS Monterey
Effekt: Import af en skadeligt udformet kalenderinvitation kan hente brugeroplysninger
Beskrivelse: Der var flere godkendelsesproblemer, som er løst ved hjælp af forbedret rensning af input.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
ColorSync
Fås til: macOS Monterey
Effekt: En app kan muligvis læse vilkårlige arkiver
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-27955: JeongOhKyea
CommCenter
Fås til: macOS Monterey
Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2023-27936: Tingting Yin fra Tsinghua University
CoreCapture
Fås til: macOS Monterey
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-28181: Tingting Yin fra Tsinghua University
Post tilføjet 8. juni 2023
dcerpc
Fås til: macOS Monterey
Effekt: En ekstern bruger kan muligvis forårsage pludselig applukning eller kørsel af vilkårlig kode
Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.
CVE-2023-27935: Aleksandar Nikolic fra Cisco Talos
dcerpc
Fås til: macOS Monterey
Effekt: En ekstern angriber kan muligvis forårsage pludselig applukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med hukommelsesinitialisering er blevet løst.
CVE-2023-27934: Aleksandar Nikolic fra Cisco Talos
Post tilføjet 8. juni 2023
dcerpc
Fås til: macOS Monterey
Effekt: En fjernbruger kan muligvis få adgang til at udføre uventet systemlukning eller læse fra kernehukommelsen
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-27953: Aleksandar Nikolic fra Cisco Talos
CVE-2023-27958: Aleksandar Nikolic fra Cisco Talos
Find My
Fås til: macOS Monterey
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-23537: Adam M.
Post tilføjet 21. december 2023
FontParser
Fås til: macOS Monterey
Effekt: Behandling af et skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2023-32366: Ye Zhang (@VAR10CK) fra Baidu Security
Post tilføjet 21. december 2023
Foundation
Fås til: macOS Monterey
Effekt: Parsing af en skadelig plist-fil kan medføre pludselig app-lukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2023-27937: En anonym programmør
ImageIO
Fås til: macOS Monterey
Effekt: Behandling af et skadeligt arkiv kan føre til uventet appafslutning eller kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2023-27946: Mickey Jin (@patch1t)
IOAcceleratorFamily
Fås til: macOS Monterey
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.
CVE-2023-32378: Murray Mike
Post tilføjet 21. december 2023
Kernel
Fås til: macOS Monterey
Effekt: En app kan muligvis afsløre kernehukommelsen
Beskrivelse: Et out-of-bounds-læseproblem ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Post tilføjet 8. juni 2023, opdateret 21. december 2023
Kernel
Fås til: macOS Monterey
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet blev løst ved forbedret kontrol af grænser.
CVE-2023-23536: Félix Poulin-Bélanger og David Pan Ogea
Post tilføjet 8. juni 2023, opdateret 21. december 2023
Kernel
Fås til: macOS Monterey
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2023-23514: Xinru Chi fra Pangu Lab og Ned Williamson of Google Project Zero
Kernel
Fås til: macOS Monterey
Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-27933: sqrtpwn
Kernel
Fås til: macOS Monterey
Effekt: En app kan muligvis afsløre kernehukommelsen
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
Fås til: macOS Monterey
Effekt: En app kan forårsage et DoS-angreb
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2023-28185: Pan ZhenPeng fra STAR Labs SG Pte. Ltd.
Post tilføjet 21. december 2023
libpthread
Fås til: macOS Monterey
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.
CVE-2023-41075: Zweig fra Kunlun Lab
Post tilføjet 21. december 2023
Fås til: macOS Monterey
Effekt: En app kan forårsage visning af følsomme oplysninger
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-28189: Mickey Jin (@patch1t)
Post tilføjet 8. juni 2023
Beskeder
Fås til: macOS Monterey
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.
CVE-2023-28197: Joshua Jones
Post tilføjet 21. december 2023
Model I/O
Fås til: macOS Monterey
Effekt: Behandling af et skadeligt arkiv kan føre til uventet appafslutning eller kørsel af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
Fås til: macOS Monterey
Effekt: En bruger i en privilegeret netværksposition kan muligvis spoofe en VPN-server, der er konfigureret kun med EAP-godkendelse på en enhed
Beskrivelse: Problemet blev løst ved forbedret godkendelse.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Fås til: macOS Monterey
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et logikproblem er løst ved forbedret kontrol.
CVE-2023-23538: Mickey Jin (@patch1t)
CVE-2023-27962: Mickey Jin (@patch1t)
Podcasts
Fås til: macOS Monterey
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Fås til: macOS Monterey
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et logikproblem er løst ved forbedret kontrol.
CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa of FFRI Security, Inc. og Csaba Fitzl (@theevilbit) fra Offensive Security
Sandbox
Fås til: macOS Monterey
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
Fås til: macOS Monterey
Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren
Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.
CVE-2023-27963: Jubaer Alnazi Jabin fra TRS Group Of Companies og Wenchao Li og Xiaolong Bai fra Alibaba Group
System Settings
Fås til: macOS Monterey
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-23542: Adam M.
Post opdateret 21. december 2023
System Settings
Fås til: macOS Monterey
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et tilladelsesproblem er løst via forbedret godkendelse.
CVE-2023-28192: Guilherme Rambo fra Best Buddy Apps (rambo.codes)
Vim
Fås til: macOS Monterey
Effekt: Flere problemer i Vim
Beskrivelse: Flere problemer blev løst ved at opdatere til Vim version 9.0.1191.
CVE-2023-0433
CVE-2023-0512
XPC
Fås til: macOS Monterey
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet er løst med en ny rettighed.
CVE-2023-27944: Mickey Jin (@patch1t)
Yderligere anerkendelser
Activation Lock
Vi vil gerne takke Christian Mina for hjælpen.
AppleMobileFileIntegrity
Vi vil gerne takke Wojciech Reguła (@_r3ggi) fra SecuRing (wojciechregula.blog) for hjælpen.
CoreServices
Vi vil gerne takke Mickey Jin (@patch1t) for hjælpen.
NSOpenPanel
Vi vil gerne takke Alexandre Colucci (@timacfr) for hjælpen.
Wi-Fi
Vi vil gerne takke en anonym programmør for hjælpen.