Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Monterey 12.6.4
Objavljeno 27. ožujka 2023.
Apple Neural Engine
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
Dostupno za: macOS Monterey
Učinak: korisnik bi mogao ostvariti pristup zaštićenim dijelovima datotečnog sustava
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Dostupno za: macOS Monterey
Učinak: arhiva bi mogla zaobići alat Gatekeeper
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) (Red Canary) i Csaba Fitzl (@theevilbit) (Offensive Security)
Unos je ažuriran 8. lipnja 2023.
Calendar
Dostupno za: macOS Monterey
Učinak: uvoz zlonamjerne pozivnice za kalendarski događaj mogao bi izdvojiti korisničke informacije
Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
ColorSync
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-27955: JeongOhKyea
CommCenter
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27936: Tingting Yin (Sveučilište Tsinghua)
CoreCapture
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-28181: Tingting Yin (Sveučilište Tsinghua)
Unos je dodan 8. lipnja 2023.
dcerpc
Dostupno za: macOS Monterey
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)
dcerpc
Dostupno za: macOS Monterey
Učinak: udaljeni napadači mogao bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s inicijalizacijom memorije riješen je.
CVE-2023-27934: Aleksandar Nikolic (Cisco Talos)
Unos je dodan 8. lipnja 2023.
dcerpc
Dostupno za: macOS Monterey
Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)
CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)
Find My
Dostupno za: macOS Monterey
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-23537: Adam M.
Unos je dodan 21. prosinca 2023.
FontParser
Dostupno za: macOS Monterey
Učinak: obradom datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32366: Ye Zhang (@VAR10CK) (Baidu Security)
Unos je dodan 21. prosinca 2023.
Foundation
Dostupno za: macOS Monterey
Učinak: raščlanjivanje zlonamjerne plist datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27937: anonimni istraživač
ImageIO
Dostupno za: macOS Monterey
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2023-27946: Mickey Jin (@patch1t)
IOAcceleratorFamily
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32378: Murray Mike
Unos je dodan 21. prosinca 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Unos je dodan 8. lipnja, 2023., a ažuriran 21. prosinca 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-23536: Félix Poulin-Bélanger i David Pan Ogea
Unos je dodan 8. lipnja, 2023., a ažuriran 21. prosinca 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-23514: Xinru Chi iz tvrtke Pangu Lab i Ned Williamson iz tima Project Zero tvrtke Google
Kernel
Dostupno za: macOS Monterey
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-27933: sqrtpwn
Kernel
Dostupno za: macOS Monterey
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.)
Unos je dodan 21. prosinca 2023.
libpthread
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2023-41075: Zweig (Kunlun Lab)
Unos je dodan 21. prosinca 2023.
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla prikazati osjetljive podatke
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-28189: Mickey Jin (@patch1t)
Unos je dodan 8. lipnja 2023.
Messages
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.
CVE-2023-28197: Joshua Jones
Unos je dodan 21. prosinca 2023.
Model I/O
Dostupno za: macOS Monterey
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
Dostupno za: macOS Monterey
Učinak: korisnik s privilegiranim mrežnim ovlastima mogao bi lažirati VPN poslužitelj koji je konfiguriran uz provjeru autentičnosti samo putem EAP protokola na uređaju
Opis: taj je problem riješen poboljšanom provjerom autentičnosti.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-23538: Mickey Jin (@patch1t)
CVE-2023-27962: Mickey Jin (@patch1t)
Podcasti
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa (FFRI Security, Inc.) i Csaba Fitzl (@theevilbit) (Offensive Security)
Sandbox
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
Dostupno za: macOS Monterey
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies) i Wenchao Li i Xiaolong Bai (Alibaba Group)
System Settings
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-23542: Adam M.
Unos je ažuriran 21. prosinca 2023.
System Settings
Dostupno za: macOS Monterey
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.
CVE-2023-28192: Guilherme Rambo (Best Buddy Apps) (rambo.codes)
Vim
Dostupno za: macOS Monterey
Učinak: veći broj problema u programu Vim
Opis: veći broj problema riješen je ažuriranjem na verziju Vim 9.0.1191.
CVE-2023-0433
CVE-2023-0512
XPC
Dostupno za: macOS Monterey
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen novom ovlasti.
CVE-2023-27944: Mickey Jin (@patch1t)
Dodatna zahvala
Activation Lock
Na pomoći zahvaljujemo Christianu Minau.
AppleMobileFileIntegrity
Željeli bismo zahvaliti Wojciechu Regułi (@_r3ggi) iz tvrtke SecuRing (wojciechregula.blog) na pomoći.
CoreServices
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
NSOpenPanel
Na pomoći zahvaljujemo Alexandreu Colucciju (@timacfr).
Wi-Fi
Na pomoći zahvaljujemo anonimnom istraživaču.