Informacije o sigurnosnom sadržaju sustava macOS Monterey 12.6.8
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Monterey 12.6.8.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Monterey 12.6.8
Izdano 24. srpnja 2023.
Accessibility
Dostupno za: macOS Monterey
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-40442: Nick Brook
Stavka dodana 8. rujna 2023.
Apple Neural Engine
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-34425: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Unos je dodan 27. srpnja 2023.
AppSandbox
Dostupno za: macOS Monterey
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Unos je dodan 27. srpnja 2023.
Assets
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Dostupno za: macOS Monterey
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-40392: Wojciech Regula (SecuRing) (wojciechregula.blog)
Stavka dodana 8. rujna 2023.
CUPS
Dostupno za: macOS Monterey
Učinak: korisnik na povlaštenom mrežnom položaju mogao bi otkriti povjerljive podatke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-34241: Sei K.
Unos je dodan 27. srpnja 2023.
curl
Dostupno za: macOS Monterey
Učinak: veći broj problema u medijateci curl
Opis: veći broj problema riješen je ažuriranjem medijateke curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2023-32416: Wojciech Regula (SecuRing) (wojciechregula.blog)
FontParser
Dostupno za: macOS Monterey
Učinak: obradom datoteke fonta može doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-41990: Apple Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) (Kaspersky)
Stavka dodana 8. rujna 2023.
Grapher
Dostupno za: macOS Monterey
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-36854: Bool (YunShangHuaAn) (云 上 华安)
CVE-2023-32418: Bool (YunShangHuaAn) (云 上 华安)
Kernel
Dostupno za: macOS Monterey
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38603: Zweig (Kunlun Lab)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2023-38590: Zweig (Kunlun Lab)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-36495: 香农的三蹦子 (Pangu Lab)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-38604: anonimni istraživač
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32381: anonimni istraživač
CVE-2023-32433: Zweig (Kunlun Lab)
CVE-2023-35993: Kaitao Xie i Xiaolong Bai (Alibaba Group)
Kernel
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti osjetljivo kernelsko stanje. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) (Kaspersky)
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs SG Pte. Ltd.)
Kernel
Dostupno za: macOS Monterey
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38603: Zweig (Kunlun Lab)
Unos je dodan 22. prosinca 2023.
libxpc
Dostupno za: macOS Monterey
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2023-38565: Zhipeng Huo (@R3dF09) iz sigurnosnog odjela Xuanwu Lab tvrtke Tencent (xlab.tencent.com)
libxpc
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-38593: Noah Roskin-Frazee
Dostupno za: macOS Monterey
Učinak: S/MIME šifrirana e-pošta može se nehotice poslati nešifrirano
Opis: problem je riješen poboljšanim upravljanjem stanjem S/MIME šifrirane e-pošte.
CVE-2023-40440: Taavi Eomäe (Zone Media OÜ)
Stavka dodana 8. rujna 2023.
Music
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Unos je dodan 27. srpnja 2023.
Model I/O
Dostupno za: macOS Monterey
Učinak: obradom 3D modela može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38421: Mickey Jin (@patch1t) i Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
CVE-2023-38258: Mickey Jin (@patch1t)
Unos je ažuriran 27. srpnja 2023.
Model I/O
Dostupno za: macOS Monterey
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-1916
Unos je dodan 22. prosinca 2023.
ncurses
Dostupno za: macOS Monterey
Učinak: aplikacija može prouzročiti neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2023-29491: Jonathan Bar Or iz tvrtke Microsoft, Emanuele Cozzi iz tvrtke Microsoft i Michael Pearse iz tvrtke Microsoft
Stavka dodana 8. rujna 2023.
Net-SNMP
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-38601: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos je dodan 27. srpnja 2023.
NSSpellChecker
Dostupno za: macOS Monterey
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2023-32444: Mickey Jin (@patch1t)
Unos je dodan 27. srpnja 2023.
OpenLDAP
Dostupno za: macOS Monterey
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-2953: Sandipan Roy
OpenSSH
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti SSH lozinkama
Opis: problem je riješen dodatnim ograničenjima uočljivosti stanja aplikacije.
CVE-2023-42829: James Duffy (mangoSecure)
Unos je dodan 22. prosinca 2023.
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-42831: James Duffy (mangoSecure)
Unos je dodan 22. prosinca 2023.
Shortcuts
Dostupno za: macOS Monterey
Učinak: prečac će možda moći mijenjati osjetljive postavke aplikacije Prečaci
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2023-32442: anonimni istraživač
sips
Dostupno za: macOS Monterey
Učinak: obradom datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32443: David Hoyt (Hoyt LLC)
Software Update
Dostupno za: macOS Monterey
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Unos je dodan 22. prosinca 2023.
SQLite
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen dodavanjem dodatnih ograničenja za izradu SQLite zapisnika
CVE-2023-32422: Gergely Kalman (@gergely_kalman) i Wojciech Reguła (SecuRing) (wojciechregula.blog)
Stavka dodana 8. rujna 2023.
SystemMigration
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32429: Wenchao Li i Xiaolong Bai (Hangzhou Orange Shield Information Technology Co., Ltd.)
Unos je dodan 27. srpnja 2023.
tcpdump
Dostupno za: macOS Monterey
Učinak: napadač s mrežnim ovlastima možda može izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-1801
Unos je dodan 22. prosinca 2023.
Vim
Dostupno za: macOS Monterey
Učinak: veći broj problema u programu Vim
Opis: veći broj problema riješen je ažuriranjem programa Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Unos je dodan 22. prosinca 2023.
Weather
Dostupno za: macOS Monterey
Učinak: aplikacija može odrediti korisnikovu trenutnu lokaciju
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-38605: Adam M.
Stavka dodana 8. rujna 2023.
Dodatna zahvala
Željeli bismo zahvaliti Parvezu Anwaru na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.