Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Monterey 12.6.6
Objavljeno 18. svibnja 2023.
Accessibility
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupno za: macOS Monterey
Učinak: aplikacija može umetnuti kod u osjetljive binarne datoteke u paketu s alatima Xcode
Opis: problem je riješen primjenom dodatnog osiguranja pokretanja na zahvaćenim binarnim datotekama na razini sustava.
CVE-2023-32383: James Duffy (mangoSecure)
Unos je dodan 21. prosinca 2023.
Contacts
Dostupno za: macOS Monterey
Učinak: aplikacija može vidjeti nezaštićene korisničke podatke
Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.
CVE-2023-32386: Kirin (@Pwnrin)
CUPS
Dostupno za: macOS Monterey
Učinak: korisnik kojem nije provjerena autentičnost mogao bi pristupati nedavno ispisanim dokumentima
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32360: Gerhard Muth
dcerpc
Dostupno za: macOS Monterey
Učinak: udaljeni napadači mogao bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32387: Dimitrios Tatsis iz tvrtke Cisco Talos
Dev Tools
Dostupno za: macOS Monterey
Učinak: aplikacija u zaštićenom okruženju može prikupiti zapisnike sustava
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Dostupno za: macOS Monterey
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-32392: Adam M.
Unos je ažuriran 21. prosinca 2023.
ImageIO
Dostupno za: macOS Monterey
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23535: ryuzaki
ImageIO
Dostupno za: macOS Monterey
Učinak: obrada slike mogla bi prouzročiti izvršavanje proizvoljnog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
IOSurface
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) (vmk msu)
Kernel
Dostupno za: macOS Monterey
Učinak: aplikacija u memoriji za testiranje mogla bi promatrati veze diljem sustava
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Dostupno za: macOS Monterey
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) iz tvrtke Synacktiv (@Synacktiv) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32398: Adam Doupé iz organizacije ASU SEFCOM
LaunchServices
Dostupno za: macOS Monterey
Učinak: aplikacija može zaobići provjere alata Gatekeeper
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) iz organizacije SecuRing (wojciechregula.blog)
libxpc
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) i Michael Pearse (Microsoft)
libxpc
Dostupno za: macOS Monterey
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-32405: Thijs Alkemade (@xnyhps) iz odjela Computest Sector 7
MallocStackLogging
Dostupno za: macOS Monterey
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: ovaj je problem riješen poboljšanim rukovanjem datotekom.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Unos je dodan 21. prosinca 2023.
Metal
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Dostupno za: macOS Monterey
Učinak: obradom 3D modela moglo bi doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32375: Michael DePlante (@izobashi) (inicijativa Trend Micro Zero Day)
CVE-2023-32382: Mickey Jin (@patch1t)
CVE-2023-32368: Mickey Jin (@patch1t)
Model I/O
Dostupno za: macOS Monterey
Učinak: obrada 3D modela može dovesti do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Dostupno za: macOS Monterey
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-32403: Adam M.
Unos je ažuriran 21. prosinca 2023.
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Dostupno za: macOS Monterey
Učinak: raščlanjivanje uredskog dokumenta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljno odabranog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2023-32401: Holger Fuhrmannek (Deutsche Telekom Security GmbH) u ime BSI-ja (njemački državni ured za informacijsku sigurnost)
Unos je dodan 21. prosinca 2023.
Sandbox
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla dobiti pristup datotekama konfiguracije sustava čak i nakon što joj je opozvana dozvola za to
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) i Csaba Fitzl (@theevilbit) (Offensive Security)
Shell
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Dostupno za: macOS Monterey
Učinak: udaljeni napadači mogao bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32412: Ivan Fratric iz tima Project Zero tvrtke Google
TV App
Dostupno za: macOS Monterey
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-32408: Adam M.
Dodatna zahvala
libxml2
Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.
Reminders
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Security
Želimo zahvaliti Jamesu Duffyju (mangoSecure) na pomoći.
Wi-Fi
Na pomoći zahvaljujemo Adamu M.
Unos je ažuriran 21. prosinca 2023.
Wi-Fi Connectivity
Na pomoći zahvaljujemo Adamu M.
Unos je ažuriran 21. prosinca 2023.