Tietoja macOS Monterey 12.7.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Monterey 12.7.5:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

macOS Monterey 12.7.5

Julkaistu 13.5.2024

Core Data

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma korjattiin parantamalla ympäristömuuttujien validointia.

CVE-2024-27805: Kirin (@Pwnrin) ja 小来来 (@Smi1eSEC)

Kohta lisätty 10.6.2024

CoreMedia

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27817: pattern-f (@pattern_F_, Ant Security Light-Year Lab)

Kohta lisätty 10.6.2024

CoreMedia

Saatavuus: macOS Monterey

Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-27831: Amir Bazine ja Karsten König, CrowdStrike Counter Adversary Operations

Kohta lisätty 10.6.2024

Disk Management

Saatavuus: macOS Monterey

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2024-27798: Yann GASCUEL (Alter Solutions)

Kohta lisätty 10.6.2024

Find My

Saatavuus: macOS Monterey

Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään Etsi-apin tietoja

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2024-23229: Joshua Jewett (@JoshJewett33)

Foundation

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-27789: Mickey Jin (@patch1t)

IOHIDFamily

Saatavuus: macOS Monterey

Vaikutus: valtuuttamaton appi saattoi pystyä kirjaamaan toisiin appeihin syötetyt näppäinpainallukset myös suojatussa syöttötilassa.

Kuvaus: ongelma on ratkaistu oikeuksien lisätarkistuksilla.

CVE-2024-27799: nimetön tutkija

Kohta lisätty 10.6.2024

Kernel

Saatavuus: macOS Monterey

Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin suojaukset.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-27840: nimetön tutkija

Kohta lisätty 10.6.2024

Maps

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2024-27810: LFY@secsys (Fudan University)

Kohta lisätty 10.6.2024

Messages

Saatavuus: macOS Monterey

Vaikutus: haitallisen sähköpostiviestin käsittely saattoi johtaa palvelunestoon.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-27800: Daniel Zajork ja Joshua Zajork

Kohta lisätty 10.6.2024

Metal

Saatavuus: macOS Monterey

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 10.6.2024

PackageKit

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2024-27885: Mickey Jin (@patch1t)

Kohta lisätty 10.6.2024

PackageKit

Saatavuus: macOS Monterey

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)

Kohta lisätty 10.6.2024

SharedFileList

Saatavuus: macOS Monterey

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-27843: Mickey Jin (@patch1t)

Kohta lisätty 10.6.2024

Spotlight

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla ympäristön puhdistamista.

CVE-2024-27806

Kohta lisätty 10.6.2024

Sync Services

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia

CVE-2024-27847: Mickey Jin (@patch1t)

Kohta lisätty 10.6.2024

Voice Control

Saatavuus: macOS Monterey

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27796: ajajfxhj

Kohta lisätty 10.6.2024

 

Kiitokset

App Store

Haluamme kiittää avusta nimetöntä tutkijaa.

 

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: