Informacije o sigurnosnom sadržaju sustava macOS Monterey 12.7.6

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Monterey 12.7.6.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Monterey 12.7.6

APFS

Dostupno za: macOS Monterey

Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti

Opis: problem je riješen boljim ograničavanje pristupa spremištu podataka.

CVE-2024-40783: Csaba Fitzl (@theevilbit) (Kandji)

Apple Neural Engine

Dostupno za: macOS Monterey

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-27826: Minghao Lin i Ye Zhang (@VAR10CK) (Baidu Security)

AppleMobileFileIntegrity

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: problem vraćanja na stariju verziju riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2024-40775: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem vraćanja na stariju verziju riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2024-40774: Mickey Jin (@patch1t)

AppleVA

Dostupno za: macOS Monterey

Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-27877: Michael DePlante (@izobashi), projekt Zero Day Initiative (Trend Micro)

CoreGraphics

Dostupno za: macOS Monterey

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40799: D4m0n

CoreMedia

Dostupno za: macOS Monterey

Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-27873: Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations)

curl

Dostupno za: macOS Monterey

Učinak: veći broj problema u medijateci curl

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-2004

CVE-2024-2379

CVE-2024-2398

CVE-2024-2466

DesktopServices

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-40827: anonimni istraživač

Disk Management

Dostupno za: macOS Monterey

Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-40828: Mickey Jin (@patch1t)

ImageIO

Dostupno za: macOS Monterey

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Dostupno za: macOS Monterey

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40806: Yisumi

Kernel

Dostupno za: macOS Monterey

Učinak: lokalni napadač mogao bi uzrokovati neočekivano isključivanje sustava

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40816: sqrtpwn

Kernel

Dostupno za: macOS Monterey

Učinak: lokalni napadač mogao bi uzrokovati neočekivano isključivanje sustava

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2024-40788: Minghao Lin i Jiaxun Zhu sa Sveučilišta Zhejiang

Keychain Access

Dostupno za: macOS Monterey

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2024-40803: Patrick Wardle (DoubleYou) & Objective-See Foundation

NetworkExtension

Dostupno za: macOS Monterey

Učinak: tijekom privatne sesije pregledavanja može doći do otkrivanja podataka o ranijim pregledima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-40796: Adam M.

OpenSSH

Dostupno za: macOS Monterey

Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-6387

PackageKit

Dostupno za: macOS Monterey

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-40781: Mickey Jin (@patch1t)

CVE-2024-40802: Mickey Jin (@patch1t)

PackageKit

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-40823: Zhongquan Li (@Guluisacat) (Dawn Security Lab, JingDong)

PackageKit

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-27882: Mickey Jin (@patch1t)

CVE-2024-27883: Csaba Fitzl (@theevilbit) (Kandji) i Mickey Jin (@patch1t)

Restore Framework

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40800: Claudio Bozzato i Francesco Benvenuto (Cisco Talos)

RTKit

Dostupno za: macOS Monterey

Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2024-23296

Safari

Dostupno za: macOS Monterey

Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

CVE-2024-40817: Yadhu Krishna M i Narendra Bhati, direktor odjela za kibernetičku sigurnost tvrtke Suma Soft Pvt. Ltd, Pune, Indija)

Scripting Bridge

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-27881: Kirin (@Pwnrin)

Security

Dostupno za: macOS Monterey

Učinak: Ekstenzije aplikacija trećih strana ne mogu primati točna ograničenja za memoriju.

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2024-40821: Joshua Jones

Security

Dostupno za: macOS Monterey

Učinak: aplikacija može čitati podatke o ranijim pregledavanjima putem Safarija

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-40798: Adam M.

Shortcuts

Dostupno za: macOS Monterey

Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-40833: anonimni istraživač

CVE-2024-40835: anonimni istraživač

CVE-2024-40807: anonimni istraživač

Shortcuts

Dostupno za: macOS Monterey

Učinak: prečac može zaobići osjetljive postavke aplikacije Prečaci

Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.

CVE-2024-40834: Marcio Almeida (Tanto Security)

Shortcuts

Dostupno za: macOS Monterey

Učinak: prečac bi mogao zaobići preduvjete za internetska dopuštenja

Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.

CVE-2024-40787: anonimni istraživač

Shortcuts

Dostupno za: macOS Monterey

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Dostupno za: macOS Monterey

Učinak: prečac bi mogao zaobići preduvjete za internetska dopuštenja

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-40809: anonimni istraživač

CVE-2024-40812: anonimni istraživač

Siri

Dostupno za: macOS Monterey

Učinak: aplikacija pokrenuta u sigurnom okruženju mogla bi pristupiti osjetljivim korisničkim podacima u zapisima sustava

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-44205: Jiahui Hu (梅零落) i Meng Zhang (鲸落) (NorthSea)

Time Zone

Dostupno za: macOS Monterey

Učinak: napadač bi mogao čitati podatke koji pripadaju drugom korisniku

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2024-23261: Matthew Loewen

Dodatna zahvala

Image Capture

Na pomoći zahvaljujemo anonimnom istraživaču.

Shortcuts

Na pomoći zahvaljujemo anonimnom istraživaču.