Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
macOS Monterey 12.7.4
Dirilis pada 7 Maret 2024
Admin Framework
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-23276: Kirin (@Pwnrin)
AirPort
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah penurunan yang memengaruhi komputer Mac berbasis Intel telah diatasi dengan tambahan pembatasan penandatanganan kode.
CVE-2024-23269: Mickey Jin (@patch1t)
ColorSync
Tersedia untuk: macOS Monterey
Dampak: Memproses file dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2024-23247: m4yfly dengan TianGong Team dari Legendsec di Qi'anxin Group
CoreCrypto
Tersedia untuk: macOS Monterey
Dampak: Penyerang mungkin dapat mendekripsi ciphertext RSA PKCS#1 v1.5 lama tanpa harus memiliki kunci rahasia
Deskripsi: Masalah saluran sisi waktu telah diatasi dengan peningkatan komputasi waktu konstan dalam fungsi kriptografis.
CVE-2024-23218: Clemens Lang
Disk Images
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat keluar dari sandbox
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-23299: peneliti anonim
Entri ditambahkan pada 29 Mei 2024
Dock
Tersedia untuk: macOS Monterey
Dampak: App dari akun pengguna standar mungkin dapat meningkatkan hak istimewa setelah pengguna admin masuk
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2024-23244: Csaba Fitzl (@theevilbit) dari OffSec
Image Processing
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2024-23270: peneliti anonim
ImageIO
Tersedia untuk: macOS Monterey
Dampak: Pemrosesan gambar dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2024-23286: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro, Amir Bazine dan Karsten König dari CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun), serta Lyutoon dan Mr.R
Entri diperbarui pada 29 Mei 2024
ImageIO
Tersedia untuk: macOS Monterey
Dampak: Pemrosesan gambar dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2024-23257: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Intel Graphics Driver
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Tersedia untuk: macOS Monterey
Dampak: App dapat mengakibatkan sistem terhenti tiba-tiba atau menulis memori kernel
Deskripsi: Kerentanan kerusakan memori telah diatasi melalui penguncian yang ditingkatkan.
CVE-2024-23265: Xinru Chi dari Pangu Lab
Kernel
Tersedia untuk: macOS Monterey
Dampak: Penyerang dengan kemampuan membaca dan menulis kernel arbitrer mungkin dapat melewati perlindungan memori kernel. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi.
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2024-23225
libxpc
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat menyebabkan penolakan layanan
Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.
CVE-2024-23201: Koh M. Nakagawa dari FFRI Security, Inc. dan peneliti anonim
MediaRemote
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.
CVE-2023-28826: Meng Zhang (鲸落) dari NorthSea
Metal
Tersedia untuk: macOS Monterey
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Notes
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah privasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.
CVE-2024-23283
PackageKit
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah injeksi telah diatasi dengan validasi input yang ditingkatkan.
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
CVE-2024-23268: Mickey Jin (@patch1t) dan Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat mengakses data pengguna yang dilindungi
Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.
CVE-2024-23275: Mickey Jin (@patch1t)
PackageKit
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat melewatkan preferensi Privasi tertentu
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat menimpa file arbitrer
Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
SharedFileList
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan penanganan file yang ditingkatkan.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Tersedia untuk: macOS Monterey
Dampak: Pintasan mungkin dapat menggunakan data sensitif dengan tindakan tertentu tanpa meminta izin pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin tambahan.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Tersedia untuk: macOS Monterey
Dampak: Pintasan pihak ketiga mungkin menggunakan tindakan lama dari Automator untuk mengirim peristiwa ke app tanpa persetujuan pengguna
Deskripsi: Masalah ini telah diatasi dengan menambahkan permintaan tambahan untuk izin pengguna.
CVE-2024-23245: peneliti anonim
Storage Services
Tersedia untuk: macOS Monterey
Dampak: Pengguna mungkin dapat mengakses bagian yang dilindungi dari sistem file
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-23272: Mickey Jin (@patch1t)
Transparency
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan peningkatan pembatasan akses ke kontainer data.
CVE-2023-40389: Csaba Fitzl (@theevilbit) dari Offensive Security dan Joshua Jewett (@JoshJewett33)
Entri ditambahkan pada 29 Mei 2024