Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Monterey 12.6.3
Kiadási dátum: 2023. január 23.
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Monterey
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Megerősített futtatási idővel hárítottuk el a problémát.
CVE-2023-23499: Wojciech Reguła (@_r3ggi, SecuRing; wojciechregula.blog)
curl
A következőhöz érhető el: macOS Monterey
Érintett terület: Több hiba is fennállt a curl esetén.
Leírás: Több hibát elhárítottunk a curl 7.86.0-s verzióra való frissítésével.
CVE-2022-42915
CVE-2022-42916
CVE-2022-32221
CVE-2022-35260
curl
A következőhöz érhető el: macOS Monterey
Érintett terület: Több hiba is fennállt a curl esetén.
Leírás: Több hibát elhárítottunk a curl 7.85.0-s verzióra való frissítésével.
CVE-2022-35252
dcerpc
A következőhöz érhető el: macOS Monterey
Érintett terület: Az ártó szándékkal létrehozott Samba hálózati megosztások tetszőleges programkód végrehajtására adtak lehetőséget.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2023-23513: Dimitrios Tatsis és Aleksandar Nikolic (Cisco Talos)
DiskArbitration
A következőhöz érhető el: macOS Monterey
Érintett terület: Egy titkosított kötetet leválaszthatott és újracsatlakoztathatott egy másik felhasználó anélkül, hogy meg kellett volna adnia a jelszót.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-23493: Oliver Norpoth (@norpoth, KLIXX GmbH; klixx.com)
DriverKit
A következőhöz érhető el: macOS Monterey
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.
CVE-2022-32915: Tommy Muir (@Muirey03)
Intel Graphics Driver
A következőhöz érhető el: macOS Monterey
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-23507: anonim kutató
Kernel
A következőhöz érhető el: macOS Monterey
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-23516: Jordy Zomer (@pwningsystems)
Bejegyzés hozzáadva 2023. május 11-én.
Kernel
A következőhöz érhető el: macOS Monterey
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-23504: Adam Doupé (ASU SEFCOM)
Kernel
A következőhöz érhető el: macOS Monterey
Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória kiosztását.
Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd., @starlabs_sg)
A következőhöz érhető el: macOS Monterey
Érintett terület: Egyes alkalmazások a tömörítés során használt átmeneti mappán keresztül hozzá tudtak férni a levelezési mappa csatolmányaihoz.
Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.
CVE-2022-42834: Wojciech Reguła (@_r3ggi, SecuRing)
Bejegyzés hozzáadva 2023. május 11-én.
PackageKit
A következőhöz érhető el: macOS Monterey
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2023-23497: Mickey Jin (@patch1t)
Screen Time
A következőhöz érhető el: macOS Monterey
Érintett terület: Az alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-23505: Wojciech Regula (SecuRing, wojciechregula.blog) és Fitzl Csaba (@theevilbit, Offensive Security)
Bejegyzés frissítve: 2023. május 11.
TCC
A következőhöz érhető el: macOS Monterey
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2023-27931: Mickey Jin (@patch1t)
Bejegyzés hozzáadva 2023. május 11-én.
Weather
A következőhöz érhető el: macOS Monterey
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-23511: Wojciech Regula (SecuRing; wojciechregula.blog), egy anonim kutató
WebKit
A következőhöz érhető el: macOS Monterey
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) és Dohyun Lee (@l33d0hyun; mindannyian: Team ApplePIE)
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) és Dohyun Lee (@l33d0hyun; mindannyian: Team ApplePIE)
Windows Installer
A következőhöz érhető el: macOS Monterey
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-23508: Mickey Jin (@patch1t)
További köszönetnyilvánítás
Kernel
Köszönjük Nick Stenning (Replicate) segítségét.