Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Monterey 12.7.2
Julkaistu 11.12.2023
Accounts
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-42894: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)
Assets
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: ongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-42896: Mickey Jin (@patch1t)
Kohta lisätty 22.3.2024
CoreServices
Saatavuus: macOS Monterey
Vaikutus: käyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
DiskArbitration
Saatavuus: macOS Monterey
Vaikutus: Prosessi saattoi saada ylläpitäjän oikeudet ilman asianmukaista todennusta.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42931: Yann GASCUEL (Alter Solutions)
Kohta lisätty 22.3.2024
FileURL
Saatavuus: macOS Monterey
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-42892: Anthony Cruz (@App Tyrant Corp)
Kohta lisätty 22.3.2024
Find My
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-42922: Wojciech Regula (SecuRing, wojciechregula.blog)
Find My
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla tiedostojen käsittelyä.
CVE-2023-42834: Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 16.2.2024
ImageIO
Saatavuus: macOS Monterey
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42899: Meysam Firouzi @R00tkitSMM ja Junsung Lee
IOKit
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä tarkkailemaan näppäinpainalluksia ilman käyttäjän lupaa.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-42891: nimetön tutkija
IOUSBDeviceFamily
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Kohta lisätty 22.3.2024
Kernel
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv – @Synacktiv)
Libsystem
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: Käyttöoikeusongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi ja lisäämällä tarkistuksia.
CVE-2023-42893
Kohta lisätty 22.3.2024
Model I/O
Saatavuus: macOS Monterey
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-3618
Kohta lisätty 22.3.2024
ncurses
Saatavuus: macOS Monterey
Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
quarantine
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.
Kuvaus: käyttöoikeusongelma ratkaistiin parantamalla eristystä.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) ja Csaba Fitzl (@theevilbit), Offensive Security
Kohta lisätty 16.2.2024
Sandbox
Saatavuus: macOS Monterey
Vaikutus: hyökkääjä saattoi pystyä käyttämään liitettyjä verkkotaltioita, jotka on liitetty kotihakemistoon.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Kohta lisätty 16.2.2024
Sandbox
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.
CVE-2023-42936
Kohta lisätty 22.3.2024
Shell
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Kohta lisätty 22.3.2024
TCC
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2023-42947: Zhongquan Li (@Guluisacat, JingDongin Dawn Security Lab)
Kohta lisätty 22.3.2024
Vim
Saatavuus: macOS Monterey
Vaikutus: haitallisen tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu päivittämällä Vim-versioon 9.0.1969.
CVE-2023-5344
Kiitokset
Preview
Haluamme kiittää avusta Akshay Nagpalia.
Kohta lisätty 16.2.2024