Informacije o sigurnosnom sadržaju sustava macOS Monterey 12.7.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Monterey 12.7.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Monterey 12.7.4

Admin Framework

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla dobiti veće ovlasti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-23276: Kirin (@Pwnrin)

Airport

Dostupno za: macOS Monterey

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-23227: Brian McNulty

AppleMobileFileIntegrity

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem smanjenja verzije koji utječe na Mac računala s Intelovim čipom riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2024-23269: Mickey Jin (@patch1t)

ColorSync

Dostupno za: macOS Monterey

Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-23247: m4yfly with TianGong Team of Legendsec at Qi'anxin Group

CoreCrypto

Dostupno za: macOS Monterey

Učinak: napadač bi mogao dešifrirati stare šifrirane tekstove RSA PKCS#1 v1.5, a da za to ne mora imati privatni ključ

Opis: problem s vremenskim odrednicama sporednog kanala riješen je uvođenjem poboljšanja u konstantnom izračunavanju vremena za kriptografske funkcije.

CVE-2024-23218: Clemens Lang

Disk Images

Dostupno za: macOS Monterey

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23299: anonimni istraživač

Dock

Dostupno za: macOS Monterey

Učinak: aplikacija sa standardnog korisničkog računa mogla bi eskalirati privilegije nakon prijave administratorskog korisnika

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2024-23244: Csaba Fitzl (@theevilbit, OffSec)

Image Processing

Dostupno za: macOS Monterey

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-23270: anonimni istraživač

ImageIO

Dostupno za: macOS Monterey

Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2024-23286: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro), Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations), Dohyun Lee (@l33d0hyun) te Lyutoon i Mr.R

ImageIO

Dostupno za: macOS Monterey

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-23257: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro)

Intel Graphics Driver

Dostupno za: macOS Monterey

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-23234: Murray Mike

Kerberos v5 PAM module

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)

Kernel

Dostupno za: macOS Monterey

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2024-23265: Xinru Chi (Pangu Lab)

Kernel

Dostupno za: macOS Monterey

Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2024-23225

libxpc

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-23201: Koh M. Nakagawa (FFRI Security, Inc.) i anonimni istraživač

MediaRemote

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-28826: Meng Zhang (鲸落) iz tvrtke NorthSea

Metal

Dostupno za: macOS Monterey

Učinak: neka bi aplikacija mogla čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative (Trend Micro)

Notes

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-23283

PackageKit

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla dobiti veće ovlasti

Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)

CVE-2024-23268: Mickey Jin (@patch1t) i Pedro Tôrres (@t0rr3sp3dr0)

PackageKit

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-23275: Mickey Jin (@patch1t)

PackageKit

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23267: Mickey Jin (@patch1t)

PackageKit

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)

SharedFileList

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanim rukovanjem datotekom.

CVE-2024-23230: Mickey Jin (@patch1t)

Shortcuts

Dostupno za: macOS Monterey

Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku

Opis: problem je riješen dodatnim provjerama dozvola.

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

Dostupno za: macOS Monterey

Učinak: prečaci treće strane mogu koristiti naslijeđenu radnju programa Automator za slanje događaja aplikacijama bez pristanka korisnika

Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.

CVE-2024-23245: anonimni istraživač

Storage Services

Dostupno za: macOS Monterey

Učinak: korisnik bi mogao ostvariti pristup zaštićenim dijelovima datotečnog sustava

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-23272: Mickey Jin (@patch1t)

Transparency

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen boljim ograničavanje pristupa spremištu podataka.

CVE-2023-40389: Csaba Fitzl (@theevilbit) (Offensive Security) i Joshua Jewett (@JoshJewett33)