Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
macOS Monterey 12.6.6
Udgivet 18. maj 2023
Accessibility
Fås til: macOS Monterey
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Fås til: macOS Monterey
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet blev løst med forbedret redigering af følsomme oplysninger.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Fås til: macOS Monterey
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet er løst ved forbedret godkendelse.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Fås til: macOS Monterey
Effekt: En app kan muligvis injicere kode i følsomme binære arkiver, der leveres med Xcode
Beskrivelse: Dette problem blev løst ved at gennemtvinge et mere robust kørselstidspunkt for de berørte binære arkiver på systemniveau.
CVE-2023-32383: James Duffy (mangoSecure)
Post tilføjet 21. december 2023
Contacts
Fås til: macOS Monterey
Effekt: En app kan observere ubeskyttede brugerdata
Beskrivelse: Et fortrolighedsproblem blev løst med forbedret håndtering af midlertidige arkiver.
CVE-2023-32386: Kirin (@Pwnrin)
CUPS
Fås til: macOS Monterey
Effekt: En ikke-godkendt bruger kan muligvis få adgang til dokumenter, der er udskrevet for nylig
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2023-32360: Gerhard Muth
dcerpc
Fås til: macOS Monterey
Effekt: En ekstern angriber kan muligvis forårsage pludselig applukning eller kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2023-32387: Dimitrios Tatsis fra Cisco Talos
Dev Tools
Fås til: macOS Monterey
Effekt: En sandbox-app kan muligvis indsamle systemlogarkiver
Beskrivelse: Problemet er løst ved forbedret godkendelse.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Fås til: macOS Monterey
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-32392: Adam M.
Post opdateret 21. december 2023
ImageIO
Fås til: macOS Monterey
Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-23535: ryuzaki
ImageIO
Fås til: macOS Monterey
Effekt: Behandling af et billede kan medføre afvikling af vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm, der arbejder med Trend Micro Zero Day Initiative
IOSurface
Fås til: macOS Monterey
Effekt: En app kan forårsage, at der lækkes en følsom kernestatus
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Fås til: macOS Monterey
Effekt: En sandbox-app kan muligvis overvåge alle netværksforbindelser på et system
Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Fås til: macOS Monterey
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) fra Synacktiv (@Synacktiv), der arbejder for Trend Micro Zero Day Initiative
Kernel
Fås til: macOS Monterey
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.
CVE-2023-32398: Adam Doupé fra ASU SEFCOM
LaunchServices
Fås til: macOS Monterey
Effekt: En app kan omgå Gatekeeper-kontrollerne
Beskrivelse: Et logikproblem er løst ved forbedret kontrol.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) fra SecuRing (wojciechregula.blog)
libxpc
Fås til: macOS Monterey
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-32369: Jonathan Bar Or fra Microsoft, Anurag Bohra fra Microsoft og Michael Pearse fra Microsoft
libxpc
Fås til: macOS Monterey
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: Et logikproblem er løst ved forbedret kontrol.
CVE-2023-32405: Thijs Alkemade (@xnyhps) fra Computest Sector 7
MallocStackLogging
Fås til: macOS Monterey
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: Problemet er løst ved forbedret filhåndtering.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Post tilføjet 21. december 2023
Metal
Fås til: macOS Monterey
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Fås til: macOS Monterey
Effekt: Behandling af en 3D-model kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-32375: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative
CVE-2023-32382: Mickey Jin (@patch1t)
CVE-2023-32368: Mickey Jin (@patch1t)
Model I/O
Fås til: macOS Monterey
Effekt: Behandling af en 3D-model kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Fås til: macOS Monterey
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Dette problem er løst med forbedret redigering af følsomme oplysninger.
CVE-2023-32403: Adam M.
Post opdateret 21. december 2023
PackageKit
Fås til: macOS Monterey
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Fås til: macOS Monterey
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Fås til: macOS Monterey
Effekt: Parsing af et Office-dokument kan muligvis medføre uventet applukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2023-32401: Holger Fuhrmannek fra Deutsche Telekom Security GmbH på vegne af BSI (German Federal Office for Information Security)
Post tilføjet 21. december 2023
Sandbox
Fås til: macOS Monterey
Effekt: En app kan bevare adgangen til systemkonfigurationsarkiver, efter at dens tilladelse er tilbagekaldt
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa fra FFRI Security, Inc., Kirin (@Pwnrin) og Csaba Fitzl (@theevilbit) fra Offensive Security
Shell
Fås til: macOS Monterey
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Fås til: macOS Monterey
Effekt: En ekstern angriber kan muligvis forårsage pludselig applukning eller kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2023-32412: Ivan Fratric fra Google Project Zero
TV App
Fås til: macOS Monterey
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.
CVE-2023-32408: Adam M.
Yderligere anerkendelser
libxml2
Vi vil gerne takke OSS-Fuzz og Ned Williamson fra Google Project Zero for hjælpen.
Reminders
Vi vil gerne takke Kirin (@Pwnrin) for hjælpen.
Security
Vi vil gerne takke James Duffy (mangoSecure) for hjælpen.
Wi-Fi
Vi vil gerne takke Adam M. for hjælpen.
Post opdateret 21. december 2023
Wi-Fi Connectivity
Vi vil gerne takke Adam M. for hjælpen.
Post opdateret 21. december 2023