A macOS Monterey 12.7 biztonsági változásjegyzéke
Ez a dokumentum a macOS Monterey 12.7 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Monterey 12.7
Kiadási dátum: 2023. szeptember 21.
Apple Neural Engine
A következőhöz érhető el: macOS Monterey.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK; Baidu Security)
Bejegyzés hozzáadva: 2023. szeptember 26.
Apple Neural Engine
A következőhöz érhető el: macOS Monterey.
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-40410: Tim Michaud (@TimGMichaud; Moveworks.ai)
Bejegyzés hozzáadva: 2023. szeptember 26.
Ask to Buy
A következőhöz érhető el: macOS Monterey.
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-38612: Chris Ross (Zoom)
Bejegyzés hozzáadva: 2023. december 22.
Biometric Authentication
A következőhöz érhető el: macOS Monterey.
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2023-41232: Liang Wei (PixiePoint Security)
Bejegyzés hozzáadva: 2023. szeptember 26.
ColorSync
A következőhöz érhető el: macOS Monterey.
Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-40406: JeongOhKyea (Theori)
Bejegyzés hozzáadva: 2023. szeptember 26.
CoreAnimation
A következőhöz érhető el: macOS Monterey.
Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40420: 이준성 (Junsung Lee) (Cross Republic)
Bejegyzés hozzáadva: 2023. szeptember 26.
Disk Management
A következőhöz érhető el: macOS Monterey.
Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni
Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2023-41968: Mickey Jin (@patch1t) és James Hutchins
Bejegyzés hozzáadva: 2023. szeptember 26.
Game Center
A következőhöz érhető el: macOS Monterey.
Érintett terület: Egyes alkalmazások képesek voltak hozzáférni a kontaktokhoz.
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2023-40395: Fitzl Csaba (@theevilbit) (Offensive Security)
Bejegyzés hozzáadva: 2023. szeptember 26.
Kernel
A következőhöz érhető el: macOS Monterey.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Bejegyzés hozzáadva: 2023. szeptember 26.
Kernel
A következőhöz érhető el: macOS Monterey.
Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 16.7 előtt kiadott iOS-verziókban.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-41992: Bill Marczak (The Citizen Lab, University of Toronto, Munk School) és Maddie Stone (Google Threat Analysis Group)
libxpc
A következőhöz érhető el: macOS Monterey.
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2023-41073: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab, xlab.tencent.com)
Bejegyzés hozzáadva: 2023. szeptember 26.
libxpc
A következőhöz érhető el: macOS Monterey.
Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2023-40454: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab, xlab.tencent.com)
Bejegyzés hozzáadva: 2023. szeptember 26.
libxslt
A következőhöz érhető el: macOS Monterey.
Érintett terület: A webes tartalmak feldolgozásakor bizonyos esetekben bizalmas információkhoz lehetett hozzájutni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40403: Dohyun Lee (@l33d0hyun, PK Security)
Bejegyzés hozzáadva: 2023. szeptember 26.
Maps
A következőhöz érhető el: macOS Monterey.
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2023-40427: Adam M. és Wojciech Regula (SecuRing (wojciechregula.blog))
Bejegyzés hozzáadva: 2023. szeptember 26.
Sandbox
A következőhöz érhető el: macOS Monterey.
Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is felülírni
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Bejegyzés hozzáadva: 2023. szeptember 26.
További köszönetnyilvánítás
Apple Neural Engine
Köszönjük pattern-f (@pattern_F_, Ant Security Light-Year Lab) segítségét.
Bejegyzés hozzáadva: 2023. december 22.
AppSandbox
Köszönjük Kirin (@Pwnrin) segítségét.
Bejegyzés hozzáadva: 2023. szeptember 26.
Kernel
Köszönjük Bill Marczak (The Citizen Lab, Torontói Egyetem. Munk School) és Maddie Stone (Google Threat Analysis Group) segítségét.
libxml2
Köszönjük OSS-Fuzz és Ned Williamson (Google Project Zero) segítségét.
Bejegyzés hozzáadva: 2023. szeptember 26.
WebKit
Köszönjük Khiem Tran és Narendra Bhati (Suma Soft Pvt. Ltd, Púna, India) segítségét.
Bejegyzés hozzáadva: 2023. szeptember 26.
WebRTC
Köszönjük egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2023. szeptember 26.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.