Informacije o sigurnosnom sadržaju sustava macOS Monterey 12.7.1.
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Monterey 12.7.1.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Monterey 12.7.1
Izdano 25. listopada 2023.
Automation
Dostupno za: macOS Monterey
Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42952: Zhipeng Huo (@R3dF09) iz tvrtke Tencent Security Xuanwu Lab (xlab.tencent.com)
Unos je dodan 16. veljače 2024.
CoreAnimation
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40449: Tomi Tokics (@tomitokics) iz tvrtke iTomsn0w
Core Recents
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen čišćenjem zapisnika
CVE-2023-42823
Unos je dodan 16. veljače 2024.
FileProvider
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge klijentima sigurnosti krajnjih točaka
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-42854: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Find My
Dostupno za: macOS Monterey
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-40413: Adam M.
Foundation
Dostupno za: macOS Monterey
Učinak: web-mjesto moglo bi pristupiti osjetljivim korisničkim podacima prilikom rješavanja simboličkih veza
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2023-42844: Ron Masas iz tvrtke BreakPoint.SH
libc
Dostupno za: macOS Monterey
Učinak: obrada zlonamjernih ulaznih podataka može dovesti do izvršavanja proizvoljnog koda u aplikacijama koje je instalirao korisnik
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40446: inooo
Unos je dodan 3. studenoga 2023.
ImageIO
Dostupno za: macOS Monterey
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40423: anonimni istraživač
Kernel
Dostupno za: macOS Monterey
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42849: Linus Henze iz tvrtke Pinauten GmbH (pinauten.de)
Model I/O
Dostupno za: macOS Monterey
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42856: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) i Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42840: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42889: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42853: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) iz tvrtke FFRI Security, Inc.
Unos je dodan 16. veljače 2024.
Pro Res
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) te happybabywu i Guang Gong iz instituta 360 Vulnerability Research Institute
Unos je dodan 16. veljače 2024.
Sandbox
Dostupno za: macOS Monterey
Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-40425: Csaba Fitzl (@theevilbit) (Offensive Security)
SQLite
Dostupno za: macOS Monterey
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-36191
Unos je dodan 16. veljače 2024.
talagent
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-40421: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
WindowServer
Dostupno za: macOS Monterey
Učinak: web-mjesto može pristupiti mikrofonu bez da se prikaže indikator korištenja mikrofona
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-41975: anonimni istraživač
WindowServer
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42858: anonimni istraživač
Unos je dodan 16. veljače 2024.
Dodatna zahvala
GPU Drivers
Na pomoći zahvaljujemo anonimnom istraživaču.
libarchive
Zahvaljujemo na pomoći Bahaau Naamnehu.
libxml2
Željeli bismo zahvaliti timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.