Informacije o sigurnosnom sadržaju sustava macOS Monterey 12.7.1.

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Monterey 12.7.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Monterey 12.7.1

Izdano 25. listopada 2023.

Automation

Dostupno za: macOS Monterey

Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-42952: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)

Unos je dodan 16. veljače 2024.

CoreAnimation

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40449: Tomi Tokics (@tomitokics) (iTomsn0w)

Core Recents

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen ispravljanjem postupka prijave

CVE-2023-42823

Unos je dodan 16. veljače 2024.

FileProvider

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge klijentima sigurnosti krajnjih točaka

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2023-42854: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)

Find My

Dostupno za: macOS Monterey

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-40413: Adam M.

Foundation

Dostupno za: macOS Monterey

Učinak: web-mjesto bi moglo pristupiti osjetljivim korisničkim podacima prilikom rješavanja simboličkih veza

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2023-42844: Ron Masas (BreakPoint.SH)

libc

Dostupno za: macOS Monterey

Učinak: obrada zlonamjernih ulaznih podataka može dovesti do izvršavanja proizvoljnog koda u aplikacijama koje je instalirao korisnik

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40446: inooo

Unos je dodan 3. studenoga 2023.

ImageIO

Dostupno za: macOS Monterey

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40416: JZ

IOTextEncryptionFamily

Dostupno za: macOS Monterey

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40423: anonimni istraživač

Kernel

Dostupno za: macOS Monterey

Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-42849: Linus Henze (Pinauten GmbH) (pinauten.de)

Model I/O

Dostupno za: macOS Monterey

Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-42856: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

PackageKit

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) i Hevel Engineering

CVE-2023-42877: Arsenii Kostromin (0x3c3e)

Unos je dodan 16. veljače 2024.

PackageKit

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-42840: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) (Offensive Security)

Unos je dodan 16. veljače 2024.

PackageKit

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-42889: Mickey Jin (@patch1t)

Unos je dodan 16. veljače 2024.

PackageKit

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-42853: Mickey Jin (@patch1t)

Unos je dodan 16. veljače 2024.

PackageKit

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) (FFRI Security, Inc.)

Unos je dodan 16. veljače 2024.

Pro Res

Dostupno za: macOS Monterey

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong (360 Vulnerability Research Institute)

Unos je dodan 16. veljače 2024.

Sandbox

Dostupno za: macOS Monterey

Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-40425: Csaba Fitzl (@theevilbit) (Offensive Security)

SQLite

Dostupno za: macOS Monterey

Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2023-36191

Unos je dodan 16. veljače 2024.

talagent

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2023-40421: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)

WindowServer

Dostupno za: macOS Monterey

Učinak: web-mjesto može pristupiti mikrofonu bez da se prikaže indikator korištenja mikrofona

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2023-41975: anonimni istraživač

WindowServer

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-42858: anonimni istraživač

Unos je dodan 16. veljače 2024.

Dodatna zahvala

GPU Drivers

Na pomoći zahvaljujemo anonimnom istraživaču.

libarchive

Zahvaljujemo na pomoći Bahaau Naamnehu.

libxml2

Na pomoći zahvaljujemo timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google.

 

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: