Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
macOS Monterey 12.6.6
Dirilis pada 18 Mei 2023
Accessibility
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah privasi telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan penyuntingan informasi sensitif yang ditingkatkan.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat menginjeksikan kode ke dalam biner sensitif yang dibundel dengan Xcode
Deskripsi: Masalah ini telah diatasi dengan mengaktifkan hardened runtime secara paksa pada biner yang terdampak di tingkat sistem.
CVE-2023-32383: James Duffy (mangoSecure)
Entri ditambahkan pada 21 Desember 2023
Contacts
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat mengamati data pengguna yang tidak terlindungi
Deskripsi: Masalah privasi telah diatasi dengan penanganan file sementara yang ditingkatkan.
CVE-2023-32386: Kirin (@Pwnrin)
CUPS
Tersedia untuk: macOS Monterey
Dampak: Pengguna tidak sah mungkin dapat mengakses dokumen yang baru-baru ini dicetak
Deskripsi: Masalah autentikasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2023-32360: Gerhard Muth
dcerpc
Tersedia untuk: macOS Monterey
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2023-32387: Dimitrios Tatsis dari Cisco Talos
Dev Tools
Tersedia untuk: macOS Monterey
Dampak: App di sandbox mungkin dapat mengumpulkan log sistem
Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah privasi telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.
CVE-2023-32392: Adam M.
Entri diperbarui pada 21 Desember 2023
ImageIO
Tersedia untuk: macOS Monterey
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-23535: ryuzaki
ImageIO
Tersedia untuk: macOS Monterey
Dampak: Memproses gambar dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm yang bekerja sama dengan Zero Day Initiative dari Trend Micro
IOSurface
Tersedia untuk: macOS Monterey
Dampak: App dapat membocorkan status kernel yang bersifat rahasia
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Tersedia untuk: macOS Monterey
Dampak: App di sandbox mungkin dapat mengamati koneksi jaringan di tingkat sistem
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin tambahan.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat memperoleh hak istimewa root
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) dari Synacktiv (@Synacktiv) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Kernel
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2023-32398: Adam Doupé dari ASU SEFCOM
LaunchServices
Tersedia untuk: macOS Monterey
Dampak: App dapat melewati pemeriksaan Gatekeeper
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) dari SecuRing (wojciechregula.blog)
libxpc
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-32369: Jonathan Bar Or dari Microsoft, Anurag Bohra dari Microsoft, dan Michael Pearse dari Microsoft
libxpc
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat memperoleh hak istimewa root
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32405: Thijs Alkemade (@xnyhps) dari Computest Sector 7
MallocStackLogging
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat memperoleh hak istimewa root
Deskripsi: Masalah ini telah diatasi dengan penanganan file yang ditingkatkan.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Entri ditambahkan pada 21 Desember 2023
Metal
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Tersedia untuk: macOS Monterey
Dampak: Memproses model 3D dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-32375: Michael DePlante (@izobashi) dari Zero Day Initiative dari Trend Micro
CVE-2023-32382: Mickey Jin (@patch1t)
CVE-2023-32368: Mickey Jin (@patch1t)
Model I/O
Tersedia untuk: macOS Monterey
Dampak: Memproses model 3D dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah ini telah diatasi dengan penyuntingan informasi sensitif yang ditingkatkan.
CVE-2023-32403: Adam M.
Entri diperbarui pada 21 Desember 2023
PackageKit
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Tersedia untuk: macOS Monterey
Dampak: Menguraikan dokumen kantor dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2023-32401: Holger Fuhrmannek dari Deutsche Telekom Security GmbH atas nama BSI (German Federal Office for Information Security)
Entri ditambahkan pada 21 Desember 2023
Sandbox
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat menyimpan akses ke file konfigurasi sistem meski izinnya telah dicabut
Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa dari FFRI Security, Inc., Kirin (@Pwnrin), dan Csaba Fitzl (@theevilbit) dari Offensive Security
Shell
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Tersedia untuk: macOS Monterey
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2023-32412: Ivan Fratric dari Google Project Zero
TV App
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-32408: Adam M.
Ucapan terima kasih tambahan
libxml2
Kami ingin mengucapkan terima kasih kepada OSS-Fuzz, dan Ned Williamson dari Google Project Zero atas bantuannya.
Reminders
Kami ingin mengucapkan terima kasih kepada Kirin (@Pwnrin) atas bantuannya.
Security
Kami ingin mengucapkan terima kasih kepada James Duffy (mangoSecure) atas bantuannya.
Wi-Fi
Kami ingin mengucapkan terima kasih kepada Adam M. atas bantuannya.
Entri diperbarui pada 21 Desember 2023
Wi-Fi Connectivity
Kami ingin mengucapkan terima kasih kepada Adam M. atas bantuannya.
Entri diperbarui pada 21 Desember 2023