Mengenai konten keamanan macOS Monterey 12.6.6

Dokumen ini menjelaskan konten keamanan macOS Monterey 12.6.6.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Monterey 12.6.6

Dirilis pada 18 Mei 2023

Accessibility

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat melewatkan preferensi Privasi

Deskripsi: Masalah privasi telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.

CVE-2023-32388: Kirin (@Pwnrin)

AppleEvents

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat melewatkan preferensi Privasi

Deskripsi: Masalah ini telah diatasi dengan penyuntingan informasi sensitif yang ditingkatkan.

CVE-2023-28191: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat melewatkan preferensi Privasi

Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.

CVE-2023-32411: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat menginjeksikan kode ke dalam biner sensitif yang dibundel dengan Xcode

Deskripsi: Masalah ini telah diatasi dengan mengaktifkan hardened runtime secara paksa pada biner yang terdampak di tingkat sistem.

CVE-2023-32383: James Duffy (mangoSecure)

Entri ditambahkan pada 21 Desember 2023

Contacts

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat mengamati data pengguna yang tidak terlindungi

Deskripsi: Masalah privasi telah diatasi dengan penanganan file sementara yang ditingkatkan.

CVE-2023-32386: Kirin (@Pwnrin)

CUPS

Tersedia untuk: macOS Monterey

Dampak: Pengguna tidak sah mungkin dapat mengakses dokumen yang baru-baru ini dicetak

Deskripsi: Masalah autentikasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2023-32360: Gerhard Muth

dcerpc

Tersedia untuk: macOS Monterey

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2023-32387: Dimitrios Tatsis dari Cisco Talos

Dev Tools

Tersedia untuk: macOS Monterey

Dampak: App di sandbox mungkin dapat mengumpulkan log sistem

Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.

CVE-2023-27945: Mickey Jin (@patch1t)

GeoServices

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah privasi telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.

CVE-2023-32392: Adam M.

Entri diperbarui pada 21 Desember 2023

ImageIO

Tersedia untuk: macOS Monterey

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-23535: ryuzaki

ImageIO

Tersedia untuk: macOS Monterey

Dampak: Memproses gambar dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-32384: Meysam Firouzi @R00tkitsmm yang bekerja sama dengan Zero Day Initiative dari Trend Micro

IOSurface

Tersedia untuk: macOS Monterey

Dampak: App dapat membocorkan status kernel yang bersifat rahasia

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu

Kernel

Tersedia untuk: macOS Monterey

Dampak: App di sandbox mungkin dapat mengamati koneksi jaringan di tingkat sistem

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin tambahan.

CVE-2023-27940: James Duffy (mangoSecure)

Kernel

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) dari Synacktiv (@Synacktiv) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Kernel

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2023-32398: Adam Doupé dari ASU SEFCOM

LaunchServices

Tersedia untuk: macOS Monterey

Dampak: App dapat melewati pemeriksaan Gatekeeper

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) dari SecuRing (wojciechregula.blog)

libxpc

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-32369: Jonathan Bar Or dari Microsoft, Anurag Bohra dari Microsoft, dan Michael Pearse dari Microsoft

libxpc

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-32405: Thijs Alkemade (@xnyhps) dari Computest Sector 7

MallocStackLogging

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Masalah ini telah diatasi dengan penanganan file yang ditingkatkan.

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

Entri ditambahkan pada 21 Desember 2023

Metal

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat melewatkan preferensi Privasi

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Tersedia untuk: macOS Monterey

Dampak: Memproses model 3D dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2023-32375: Michael DePlante (@izobashi) dari Zero Day Initiative dari Trend Micro

CVE-2023-32382: Mickey Jin (@patch1t)

CVE-2023-32368: Mickey Jin (@patch1t)

Model I/O

Tersedia untuk: macOS Monterey

Dampak: Memproses model 3D dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-32380: Mickey Jin (@patch1t)

NetworkExtension

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah ini telah diatasi dengan penyuntingan informasi sensitif yang ditingkatkan.

CVE-2023-32403: Adam M.

Entri diperbarui pada 21 Desember 2023

PackageKit

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-32355: Mickey Jin (@patch1t)

Perl

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-32395: Arsenii Kostromin (0x3c3e)

Quick Look

Tersedia untuk: macOS Monterey

Dampak: Menguraikan dokumen kantor dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-32401: Holger Fuhrmannek dari Deutsche Telekom Security GmbH atas nama BSI (German Federal Office for Information Security)

Entri ditambahkan pada 21 Desember 2023

Sandbox

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat menyimpan akses ke file konfigurasi sistem meski izinnya telah dicabut

Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa dari FFRI Security, Inc., Kirin (@Pwnrin), dan Csaba Fitzl (@theevilbit) dari Offensive Security

Shell

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Telephony

Tersedia untuk: macOS Monterey

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2023-32412: Ivan Fratric dari Google Project Zero

TV App

Tersedia untuk: macOS Monterey

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.

CVE-2023-32408: Adam M.

Ucapan terima kasih tambahan

libxml2

Kami ingin mengucapkan terima kasih kepada OSS-Fuzz, dan Ned Williamson dari Google Project Zero atas bantuannya.

Reminders

Kami ingin mengucapkan terima kasih kepada Kirin (@Pwnrin) atas bantuannya.

Security

Kami ingin mengucapkan terima kasih kepada James Duffy (mangoSecure) atas bantuannya.

Wi-Fi

Kami ingin mengucapkan terima kasih kepada Adam M. atas bantuannya.

Entri diperbarui pada 21 Desember 2023

Wi-Fi Connectivity

Kami ingin mengucapkan terima kasih kepada Adam M. atas bantuannya.

Entri diperbarui pada 21 Desember 2023

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: 03 Januari 2024