Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Monterey 12.7.4
Objavljeno 7. ožujka 2024.
Admin Framework
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-23276: Kirin (@Pwnrin)
Airport
Dostupno za: macOS Monterey
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem smanjenja verzije koji utječe na Mac računala s Intelovim čipom riješen je dodatnim ograničenjima potpisivanja koda.
CVE-2024-23269: Mickey Jin (@patch1t)
ColorSync
Dostupno za: macOS Monterey
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-23247: m4yfly with TianGong Team of Legendsec at Qi'anxin Group
CoreCrypto
Dostupno za: macOS Monterey
Učinak: napadač bi mogao dešifrirati stare šifrirane tekstove RSA PKCS#1 v1.5, a da za to ne mora imati privatni ključ
Opis: problem s vremenskim odrednicama sporednog kanala riješen je uvođenjem poboljšanja u konstantnom izračunavanju vremena za kriptografske funkcije.
CVE-2024-23218: Clemens Lang
Disk Images
Dostupno za: macOS Monterey
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23299: anonimni istraživač
Unos je dodan 29. svibnja 2024.
Dock
Dostupno za: macOS Monterey
Učinak: aplikacija sa standardnog korisničkog računa mogla bi eskalirati privilegije nakon prijave administratorskog korisnika
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2024-23244: Csaba Fitzl (@theevilbit, OffSec)
Image Processing
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-23270: anonimni istraživač
ImageIO
Dostupno za: macOS Monterey
Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2024-23286: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro), Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations), Dohyun Lee (@l33d0hyun) te Lyutoon i Mr.R
Unos je ažuriran 29. svibnja 2024.
ImageIO
Dostupno za: macOS Monterey
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-23257: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro)
Intel Graphics Driver
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2024-23265: Xinru Chi (Pangu Lab)
Kernel
Dostupno za: macOS Monterey
Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2024-23225
libxpc
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2024-23201: Koh M. Nakagawa (FFRI Security, Inc.) i anonimni istraživač
MediaRemote
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-28826: Meng Zhang (鲸落) iz tvrtke NorthSea
Metal
Dostupno za: macOS Monterey
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative (Trend Micro)
Notes
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-23283
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
CVE-2024-23268: Mickey Jin (@patch1t) i Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2024-23275: Mickey Jin (@patch1t)
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
SharedFileList
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: ovaj je problem riješen poboljšanim rukovanjem datotekom.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Dostupno za: macOS Monterey
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Dostupno za: macOS Monterey
Učinak: prečaci treće strane mogu koristiti naslijeđenu radnju programa Automator za slanje događaja aplikacijama bez pristanka korisnika
Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.
CVE-2024-23245: anonimni istraživač
Storage Services
Dostupno za: macOS Monterey
Učinak: korisnik bi mogao ostvariti pristup zaštićenim dijelovima datotečnog sustava
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-23272: Mickey Jin (@patch1t)
Transparency
Dostupno za: macOS Monterey
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen boljim ograničavanje pristupa spremištu podataka.
CVE-2023-40389: Csaba Fitzl (@theevilbit) (Offensive Security) i Joshua Jewett (@JoshJewett33)
Unos je dodan 29. svibnja 2024.