Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
macOS Monterey 12.7.1
Udgivet 25. oktober 2023
Automation
Fås til: macOS Monterey
Effekt: En app med rodrettigheder kan muligvis få adgang til en brugers private oplysninger
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-42952: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Post tilføjet 16. februar 2024
CoreAnimation
Fås til: macOS Monterey
Effekt: En app kan forårsage et DoS-angreb
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-40449: Tomi Tokics (@tomitokics) fra iTomsn0w
Core Recents
Fås til: macOS Monterey
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet blev løst ved at rense logning
CVE-2023-42823
Post tilføjet 16. februar 2024
FileProvider
Fås til: macOS Monterey
Effekt: En app kan muligvis forårsage DoS-angreb for Endpoint Security-klienter
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2023-42854: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)
Find My
Fås til: macOS Monterey
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.
CVE-2023-40413: Adam M.
Foundation
Fås til: macOS Monterey
Effekt: Et websted kan muligvis få adgang til følsomme brugerdata, når symbolske links løses
Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.
CVE-2023-42844: Ron Masas fra BreakPoint.SH
libc
Fås til: macOS Monterey
Effekt: Behandling af skadeligt input kan muligvis medføre kørsel af vilkårlig kode i brugerinstallerede apps
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-40446: inooo
Post tilføjet 3. november 2023
ImageIO
Fås til: macOS Monterey
Effekt: Behandling af et billede kan medføre afsløring af proceshukommelse
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Fås til: macOS Monterey
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-40423: en anonym programmør
Kernel
Fås til: macOS Monterey
Effekt: En hacker, der allerede har opnået kørsel af kernekode, kan muligvis være i stand til at omgå løsning af kernehukommelsen
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-42849: Linus Henze fra Pinauten GmbH (pinauten.de)
Model I/O
Fås til: macOS Monterey
Effekt: Behandling af et arkiv kan føre til uventet appafslutning eller kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-42856: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
PackageKit
Fås til: macOS Monterey
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) og Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Post tilføjet 16. februar 2024
PackageKit
Fås til: macOS Monterey
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-42840: Mickey Jin (@patch1t) og Csaba Fitzl (@theevilbit) fra Offensive Security
Post tilføjet 16. februar 2024
PackageKit
Fås til: macOS Monterey
Effekt: En app kan muligvis omgå visse indstillinger for fortrolighed
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-42889: Mickey Jin (@patch1t)
Post tilføjet 16. februar 2024
PackageKit
Fås til: macOS Monterey
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et logikproblem er løst ved forbedret kontrol.
CVE-2023-42853: Mickey Jin (@patch1t)
Post tilføjet 16. februar 2024
PackageKit
Fås til: macOS Monterey
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) fra FFRI Security, Inc.
Post tilføjet 16. februar 2024
Pro Res
Fås til: macOS Monterey
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet blev løst ved forbedret kontrol af grænser.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) og happybabywu og Guang Gong fra 360 Vulnerability Research Institute
Post tilføjet 16. februar 2024
Sandbox
Fås til: macOS Monterey
Effekt: En app med rodrettigheder kan muligvis få adgang til en brugers private oplysninger
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-40425: Csaba Fitzl (@theevilbit) fra Offensive Security
SQLite
Fås til: macOS Monterey
Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2023-36191
Post tilføjet 16. februar 2024
talagent
Fås til: macOS Monterey
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.
CVE-2023-40421: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)
WindowServer
Fås til: macOS Monterey
Effekt: Et websted kan være i stand til at tilgå mikrofonen, uden at det vises, at mikrofonen bliver brugt
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2023-41975: en anonym programmør
WindowServer
Fås til: macOS Monterey
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-42858: en anonym programmør
Post tilføjet 16. februar 2024
Yderligere anerkendelser
GPU Drivers
Vi vil gerne takke en anonym programmør for hjælpen.
libarchive
Vi vil gerne takke Bahaa Naamneh for hjælpen.
libxml2
Vi vil gerne takke OSS-Fuzz, Ned Williamson fra Google Project Zero for hjælpen.