Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα ασφάλειας της Apple αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
macOS Monterey 12.7.1
Κυκλοφόρησε στις 25 Οκτωβρίου 2023
Automation
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή με προνόμια ρίζας ενδέχεται να έχει δυνατότητα πρόσβασης σε απόρρητες πληροφορίες
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-42952: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com)
Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024
CoreAnimation
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-40449: Tomi Tokics (@tomitokics) της iTomsn0w
Core Recents
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Το πρόβλημα επιλύθηκε με εξυγίανση καταγραφής
CVE-2023-42823
Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024
FileProvider
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας σε πελάτες Endpoint Security
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2023-42854: Noah Roskin-Frazee και Prof. J. (ZeroClicks.ai Lab)
Find My
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.
CVE-2023-40413: Adam M.
Foundation
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη κατά την επίλυση symlinks
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένο χειρισμό symlinks.
CVE-2023-42844: Ron Masas του BreakPoint.SH
libc
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Η επεξεργασία κακόβουλης εισόδου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα σε εφαρμογές που έχουν εγκατασταθεί από τους χρήστες
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-40446: inooo
Η καταχώριση προστέθηκε στις 3 Νοεμβρίου 2023
ImageIO
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-40423: ανώνυμος ερευνητής
Kernel
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Ένας εισβολέας που έχει ήδη πραγματοποιήσει επιτυχώς εκτέλεση κώδικα πυρήνα ενδέχεται να μπορεί να παρακάμψει τα μέτρα αντιμετώπισης της μνήμης πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-42849: Linus Henze της Pinauten GmbH (pinauten.de)
Model I/O
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Η επεξεργασία ενός αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-42856: Michael DePlante (@izobashi) της πρωτοβουλίας Zero Day Initiative της Trend Micro
PackageKit
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) και Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024
PackageKit
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-42840: Mickey Jin (@patch1t) και Csaba Fitzl (@theevilbit) της Offensive Security
Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024
PackageKit
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει ορισμένες προτιμήσεις Απορρήτου
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-42889: Mickey Jin (@patch1t)
Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024
PackageKit
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-42853: Mickey Jin (@patch1t)
Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024
PackageKit
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) της FFRI Security, Inc.
Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024
Pro Res
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) και happybabywu και Guang Gong του 360 Vulnerability Research Institute
Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024
Sandbox
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή με προνόμια ρίζας ενδέχεται να έχει δυνατότητα πρόσβασης σε απόρρητες πληροφορίες
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2023-40425: Csaba Fitzl (@theevilbit) της Offensive Security
SQLite
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Ένας απομακρυσμένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-36191
Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024
talagent
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.
CVE-2023-40421: Noah Roskin-Frazee και Prof. J. (ZeroClicks.ai Lab)
WindowServer
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Ένας ιστότοπος ενδέχεται να μπορεί να αποκτήσει πρόσβαση στο μικρόφωνο χωρίς να εμφανίζεται η ένδειξη χρήσης του μικροφώνου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2023-41975: ανώνυμος ερευνητής
WindowServer
Διατίθεται για: macOS Monterey
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-42858: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024
Επιπλέον αναγνώριση
GPU Drivers
Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.
libarchive
Θα θέλαμε να ευχαριστήσουμε τον Bahaa Naamneh για τη βοήθειά του.
libxml2
Θα θέλαμε να ευχαριστήσουμε τους OSS-Fuzz και Ned Williamson του Google Project Zero για τη βοήθειά τους.