Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Monterey 12.7.1
Izdano 25. listopada 2023.
Automation
Dostupno za: macOS Monterey
Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42952: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
Unos je dodan 16. veljače 2024.
CoreAnimation
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40449: Tomi Tokics (@tomitokics) (iTomsn0w)
Core Recents
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen ispravljanjem postupka prijave
CVE-2023-42823
Unos je dodan 16. veljače 2024.
FileProvider
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge klijentima sigurnosti krajnjih točaka
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-42854: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Find My
Dostupno za: macOS Monterey
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-40413: Adam M.
Foundation
Dostupno za: macOS Monterey
Učinak: web-mjesto bi moglo pristupiti osjetljivim korisničkim podacima prilikom rješavanja simboličkih veza
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2023-42844: Ron Masas (BreakPoint.SH)
libc
Dostupno za: macOS Monterey
Učinak: obrada zlonamjernih ulaznih podataka može dovesti do izvršavanja proizvoljnog koda u aplikacijama koje je instalirao korisnik
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40446: inooo
Unos je dodan 3. studenoga 2023.
ImageIO
Dostupno za: macOS Monterey
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40423: anonimni istraživač
Kernel
Dostupno za: macOS Monterey
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42849: Linus Henze (Pinauten GmbH) (pinauten.de)
Model I/O
Dostupno za: macOS Monterey
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42856: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) i Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42840: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) (Offensive Security)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42889: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42853: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) (FFRI Security, Inc.)
Unos je dodan 16. veljače 2024.
Pro Res
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong (360 Vulnerability Research Institute)
Unos je dodan 16. veljače 2024.
Sandbox
Dostupno za: macOS Monterey
Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-40425: Csaba Fitzl (@theevilbit) (Offensive Security)
SQLite
Dostupno za: macOS Monterey
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-36191
Unos je dodan 16. veljače 2024.
talagent
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-40421: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
WindowServer
Dostupno za: macOS Monterey
Učinak: web-mjesto može pristupiti mikrofonu bez da se prikaže indikator korištenja mikrofona
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-41975: anonimni istraživač
WindowServer
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42858: anonimni istraživač
Unos je dodan 16. veljače 2024.
Dodatna zahvala
GPU Drivers
Na pomoći zahvaljujemo anonimnom istraživaču.
libarchive
Zahvaljujemo na pomoći Bahaau Naamnehu.
libxml2
Na pomoći zahvaljujemo timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google.