Tietoja macOS Monterey 12.6.6:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Monterey 12.6.6:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

macOS Monterey 12.6.6

Julkaistu 18.5.2023

Accessibility

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-32388: Kirin (@Pwnrin)

AppleEvents

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: Ongelma ratkaistiin parantamalla arkaluonteisten tietojen sensurointia.

CVE-2023-28191: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2023-32411: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä lisäämään ohjelmakoodia Xcodella koostettuihin kriittisiin binaaritiedostoihin.

Kuvaus: ongelma korjattiin pakottamalla järjestelmätason vahvistettu käytönaikainen suojaus binaaritiedostoille, joihin ongelma vaikutti.

CVE-2023-32383: James Duffy (mangoSecure)

Contacts

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä tarkastelemaan suojaamattomia käyttäjätietoja.

Kuvaus: Tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2023-32386: Kirin (@Pwnrin)

CUPS

Saatavuus: macOS Monterey

Vaikutus: todentautumaton käyttäjä saattoi pystyä käyttämään äskettäin tulostettuja asiakirjoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2023-32360: Gerhard Muth

dcerpc

Saatavuus: macOS Monterey

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-32387: Dimitrios Tatsis (Cisco Talos)

Dev Tools

Saatavuus: macOS Monterey

Vaikutus: eristetty appi saattoi pystyä keräämään järjestelmälokeja.

Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2023-27945: Mickey Jin (@patch1t)

GeoServices

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-32392: Adam M.

Kohta päivitetty 21.12.2023

ImageIO

Saatavuus: macOS Monterey

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-23535: ryuzaki

ImageIO

Saatavuus: macOS Monterey

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) yhteistyössä Trend Micro Zero Day Initiativen kanssa

IOSurface

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu

Kernel

Saatavuus: macOS Monterey

Vaikutus: eristetty appi saattoi pystyä tarkastelemaan järjestelmänlaajuisia verkkoyhteyksiä.

Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2023-27940: James Duffy (mangoSecure)

Kernel

Saatavuus: macOS Monterey

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2023-32413: Trend Micro Zero Day Initiativen parissa työskentelevä Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv, @Synacktiv)

Kernel

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-32398: Adam Doupé (ASU SEFCOM)

LaunchServices

Saatavuus: macOS Monterey

Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-32352: Wojciech Reguła (@_r3ggi, SecuRing, wojciechregula.blog)

libxpc

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) ja Michael Pearse (Microsoft)

libxpc

Saatavuus: macOS Monterey

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-32405: Thijs Alkemade (@xnyhps, Computest Sector 7)

MallocStackLogging

Saatavuus: macOS Monterey

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tiedostojen käsittelyä.

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

Kohta lisätty 21.12.2023

Metal

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Saatavuus: macOS Monterey

Vaikutus: 3D-mallin käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-32375: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2023-32382: Mickey Jin (@patch1t)

CVE-2023-32368: Mickey Jin (@patch1t)

Model I/O

Saatavuus: macOS Monterey

Vaikutus: 3D-mallin käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2023-32380: Mickey Jin (@patch1t)

NetworkExtension

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2023-32403: Adam M.

Kohta päivitetty 21.12.2023

PackageKit

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2023-32355: Mickey Jin (@patch1t)

Perl

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2023-32395: Arsenii Kostromin (0x3c3e)

Quick Look

Saatavuus: macOS Monterey

Vaikutus: Office-tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2023-32401: Holger Fuhrmannek (Deutsche Telekom Security GmbH, BSI / German Federal Office for Information Securityn puolesta)

Kohta lisätty 21.12.2023

Sandbox

Saatavuus: macOS Monterey

Vaikutus: Appi saattoi pystyä säilyttämään järjestelmän määritystietojen käyttöoikeudet, vaikka apin lupa kumottiin.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) ja Csaba Fitzl (@theevilbit, Offensive Security)

Shell

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Telephony

Saatavuus: macOS Monterey

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-32412: Ivan Fratric (Google Project Zero)

TV App

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2023-32408: Adam M.

Kiitokset

libxml2

Haluamme kiittää avusta OSS-Fuzzia sekä Ned Williamsonia (Google Project Zero).

Reminders

Haluamme kiittää avusta Kiriniä (@Pwnrin).

Security

Haluamme kiittää avusta James Duffya (mangoSecure).

Wi-Fi

Kiitämme Adam M:ää hänen antamastaan avusta.

Kohta päivitetty 21.12.2023

Wi-Fi Connectivity

Kiitämme Adam M:ää hänen antamastaan avusta.

Kohta päivitetty 21.12.2023

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: