Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Monterey 12.7

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Monterey 12.7.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Monterey 12.7

Apple Neural Engine

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) της Baidu Security

Apple Neural Engine

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-40410: Tim Michaud (@TimGMichaud) της Moveworks.ai

Ask to Buy

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-38612: Chris Ross (Zoom)

Biometric Authentication

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2023-41232: Liang Wei της PixiePoint Security

ColorSync

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης αυθαίρετων αρχείων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-40406: JeongOhKyea της Theori

CoreAnimation

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-40420: 이준성(Junsung Lee) της Cross Republic

Disk Management

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης αυθαίρετων αρχείων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2023-41968: Mickey Jin (@patch1t) και James Hutchins

Game Center

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε επαφές

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.

CVE-2023-40395: Csaba Fitzl (@theevilbit) της Offensive Security

Kernel

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd.

Kernel

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS πριν από το iOS 16.7.

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-41992: Bill Marczak του Citizen Lab στο Munk School του University of Toronto και Maddie Stone του Google Threat Analysis Group

libxpc

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2023-41073: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαγράψει αρχεία για τα οποία δεν έχει δικαιώματα

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2023-40454: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) της PK Security

Maps

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.

CVE-2023-40427: Adam M. και Wojciech Regula της SecuRing (wojciechregula.blog)

Sandbox

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα αντικατάστασης αυθαίρετων αρχείων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Επιπλέον αναγνώριση

Apple Neural Engine

Θα θέλαμε να ευχαριστήσουμε τον pattern-f (@pattern_F_) της Security Light-Year Lab για τη βοήθειά του.

AppSandbox

Θα θέλαμε να ευχαριστήσουμε τον χρήστη Kirin (@Pwnrin) για τη βοήθειά του.

Kernel

Θα θέλαμε να ευχαριστήσουμε τον Bill Marczak του The Citizen Lab στο The University of Toronto's Munk School και τη Maddie Stone του Google's Threat Analysis Group για τη βοήθειά τους.

libxml2

Θα θέλαμε να ευχαριστήσουμε τους OSS-Fuzz και Ned Williamson του Google Project Zero για τη βοήθειά τους.

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Khiem Tran και Narendra Bhati από τη Suma Soft Pvt. Ltd, Pune (Ινδία) για τη βοήθειά τους.

WebRTC

Θα θέλαμε να ευχαριστήσουμε έναν ανώνυμο ερευνητή για τη βοήθειά του.