Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Monterey 12.6.8
Izdano 24. srpnja 2023.
Accessibility
Dostupno za: macOS Monterey
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-40442: Nick Brook
Stavka dodana 8. rujna 2023.
Apple Neural Engine
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-34425: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Unos je dodan 27. srpnja 2023.
AppSandbox
Dostupno za: macOS Monterey
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Unos je dodan 27. srpnja 2023.
Assets
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Dostupno za: macOS Monterey
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-40392: Wojciech Regula (SecuRing) (wojciechregula.blog)
Stavka dodana 8. rujna 2023.
CUPS
Dostupno za: macOS Monterey
Učinak: korisnik na povlaštenom mrežnom položaju mogao bi otkriti povjerljive podatke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-34241: Sei K.
Unos je dodan 27. srpnja 2023.
curl
Dostupno za: macOS Monterey
Učinak: veći broj problema u medijateci curl
Opis: veći broj problema riješen je ažuriranjem medijateke curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2023-32416: Wojciech Regula (SecuRing) (wojciechregula.blog)
FontParser
Dostupno za: macOS Monterey
Učinak: obradom datoteke fonta može doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-41990: Apple Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) (Kaspersky)
Stavka dodana 8. rujna 2023.
Grapher
Dostupno za: macOS Monterey
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-36854: Bool (YunShangHuaAn) (云 上 华安)
CVE-2023-32418: Bool (YunShangHuaAn) (云 上 华安)
Kernel
Dostupno za: macOS Monterey
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38603: Zweig (Kunlun Lab)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2023-38590: Zweig (Kunlun Lab)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-36495: 香农的三蹦子 (Pangu Lab)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-38604: anonimni istraživač
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32381: anonimni istraživač
CVE-2023-32433: Zweig (Kunlun Lab)
CVE-2023-35993: Kaitao Xie i Xiaolong Bai (Alibaba Group)
Kernel
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti osjetljivo kernelsko stanje. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) (Kaspersky)
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs SG Pte. Ltd.)
Kernel
Dostupno za: macOS Monterey
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38603: Zweig (Kunlun Lab)
Unos je dodan 22. prosinca 2023.
libxpc
Dostupno za: macOS Monterey
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2023-38565: Zhipeng Huo (@R3dF09) iz sigurnosnog odjela Xuanwu Lab tvrtke Tencent (xlab.tencent.com)
libxpc
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-38593: Noah Roskin-Frazee
Dostupno za: macOS Monterey
Učinak: S/MIME šifrirana e-pošta može se nehotice poslati nešifrirano
Opis: problem je riješen poboljšanim upravljanjem stanjem S/MIME šifrirane e-pošte.
CVE-2023-40440: Taavi Eomäe (Zone Media OÜ)
Stavka dodana 8. rujna 2023.
Music
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Unos je dodan 27. srpnja 2023.
Model I/O
Dostupno za: macOS Monterey
Učinak: obradom 3D modela može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38421: Mickey Jin (@patch1t) i Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
CVE-2023-38258: Mickey Jin (@patch1t)
Unos je ažuriran 27. srpnja 2023.
Model I/O
Dostupno za: macOS Monterey
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-1916
Unos je dodan 22. prosinca 2023.
ncurses
Dostupno za: macOS Monterey
Učinak: aplikacija može prouzročiti neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2023-29491: Jonathan Bar Or iz tvrtke Microsoft, Emanuele Cozzi iz tvrtke Microsoft i Michael Pearse iz tvrtke Microsoft
Stavka dodana 8. rujna 2023.
Net-SNMP
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-38601: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos je dodan 27. srpnja 2023.
NSSpellChecker
Dostupno za: macOS Monterey
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2023-32444: Mickey Jin (@patch1t)
Unos je dodan 27. srpnja 2023.
OpenLDAP
Dostupno za: macOS Monterey
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-2953: Sandipan Roy
OpenSSH
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti SSH lozinkama
Opis: problem je riješen dodatnim ograničenjima uočljivosti stanja aplikacije.
CVE-2023-42829: James Duffy (mangoSecure)
Unos je dodan 22. prosinca 2023.
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-42831: James Duffy (mangoSecure)
Unos je dodan 22. prosinca 2023.
Shortcuts
Dostupno za: macOS Monterey
Učinak: prečac će možda moći mijenjati osjetljive postavke aplikacije Prečaci
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2023-32442: anonimni istraživač
sips
Dostupno za: macOS Monterey
Učinak: obradom datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32443: David Hoyt (Hoyt LLC)
Software Update
Dostupno za: macOS Monterey
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Unos je dodan 22. prosinca 2023.
SQLite
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen dodavanjem dodatnih ograničenja za izradu SQLite zapisnika
CVE-2023-32422: Gergely Kalman (@gergely_kalman) i Wojciech Reguła (SecuRing) (wojciechregula.blog)
Stavka dodana 8. rujna 2023.
SystemMigration
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32429: Wenchao Li i Xiaolong Bai (Hangzhou Orange Shield Information Technology Co., Ltd.)
Unos je dodan 27. srpnja 2023.
tcpdump
Dostupno za: macOS Monterey
Učinak: napadač s mrežnim ovlastima možda može izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-1801
Unos je dodan 22. prosinca 2023.
Vim
Dostupno za: macOS Monterey
Učinak: veći broj problema u programu Vim
Opis: veći broj problema riješen je ažuriranjem programa Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Unos je dodan 22. prosinca 2023.
Weather
Dostupno za: macOS Monterey
Učinak: aplikacija može odrediti korisnikovu trenutnu lokaciju
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-38605: Adam M.
Stavka dodana 8. rujna 2023.
Dodatna zahvala
Željeli bismo zahvaliti Parvezu Anwaru na pomoći.