Tietoja macOS Monterey 12.6.3:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Monterey 12.6.3:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Monterey 12.6.3
AppleMobileFileIntegrity
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä käyttämään tietoja, joita ei ole tarkoitettu käyttäjille.
Kuvaus: ongelma ratkaistiin ottamalla käyttöön vahvistettu suorituksenaikainen suojaus.
CVE-2023-23499: Wojciech Reguła (@_r3ggi, SecuRing (wojciechregula.blog))
curl
Saatavuus: macOS Monterey
Vaikutus: curlissa oli useita ongelmia.
Kuvaus: useita ongelmia on ratkaistu päivittämällä curlin versioon 7.86.0.
CVE-2022-42915
CVE-2022-42916
CVE-2022-32221
CVE-2022-35260
curl
Saatavuus: macOS Monterey
Vaikutus: Curlissa oli useita ongelmia.
Kuvaus: useita ongelmia on ratkaistu päivittämällä curlin versioon 7.85.0.
CVE-2022-35252
dcerpc
Saatavuus: macOS Monterey
Vaikutus: haitallisen Samba-verkkojaon näkyviin tuominen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23513: Dimitrios Tatsis ja Aleksandar Nikolic (Cisco Talos)
DiskArbitration
Saatavuus: macOS Monterey
Vaikutus: Toinen käyttäjä pystyi poistamaan salatun taltion näkyvistä ja tuomaan sen uudelleen näkyviin salasanaa pyytämättä.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-23493: Oliver Norpoth (@norpoth, KLIXX GmbH (klixx.com))
DriverKit
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.
CVE-2022-32915: Tommy Muir (@Muirey03)
Intel Graphics Driver
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-23507: nimetön tutkija
Kernel
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23516: Jordy Zomer (@pwningsystems)
Kernel
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23504: Adam Doupé (ASU SEFCOM)
Kernel
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd. (@starlabs_sg))
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä käyttämään sähköpostikansion liitteitä pakkauksen aikana käytetyn väliaikaisen hakemiston kautta.
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.
CVE-2022-42834: Wojciech Reguła (@_r3ggi, SecuRing)
PackageKit
Saatavuus: macOS Monterey
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-23497: Mickey Jin (@patch1t)
Screen Time
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-23505: Wojciech Regula (SecuRing, wojciechregula.blog) ja Csaba Fitzl (@theevilbit, Offensive Security)
TCC
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-27931: Mickey Jin (@patch1t)
Weather
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23511: Wojciech Regula (SecuRing (wojciechregula.blog)), nimetön tutkija
WebKit
Saatavuus: macOS Monterey
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) (Team ApplePIE)
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) (Team ApplePIE)
Windows Installer
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23508: Mickey Jin (@patch1t)
Kiitokset
Kernel
Haluamme kiittää Nick Stenningiä (Replicate) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.