macOS Monterey 12.6.3 のセキュリティコンテンツについて

macOS Monterey 12.6.3 のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最近のリリースについては、「Apple セキュリティアップデート」ページに一覧形式でまとめています。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。

macOS Monterey 12.6.3

AppleMobileFileIntegrity

対象 OS：macOS Monterey

影響：App が重要なユーザデータにアクセスできる可能性がある。

説明：Hardened Runtime を有効にして、この問題に対処しました。

CVE-2023-23499：SecuRing の Wojciech Reguła 氏 (@_r3ggi) (wojciechregula.blog)

curl

対象 OS：macOS Monterey

影響：curl に複数の脆弱性がある。

説明：curl をバージョン 7.86.0 にアップデートして、複数の脆弱性に対処しました。

CVE-2022-42915

CVE-2022-42916

CVE-2022-32221

CVE-2022-35260

curl

対象 OS：macOS Monterey

影響：curl に複数の脆弱性がある。

説明：curl をバージョン 7.85.0 にアップデートして、複数の脆弱性に対処しました。

CVE-2022-35252

dcerpc

対象 OS：macOS Monterey

影響：悪意を持って作成された Samba ネットワーク共有をマウントすると、任意のコードを実行される可能性がある。

説明：メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。

CVE-2023-23513：Cisco Talos の Dimitrios Tatsis 氏および Aleksandar Nikolic 氏

DiskArbitration

対象 OS：macOS Monterey

影響：暗号化されたボリュームが、別のユーザによってマウント解除され、再マウントされる場合があり、その際にパスワードの入力画面が表示されない。

説明：ステート管理を改善し、ロジックの問題に対処しました。

CVE-2023-23493：KLIXX GmbH (klixx.com) の Oliver Norpoth 氏 (@norpoth)

DriverKit

対象 OS：macOS Monterey

影響：App がカーネル権限で任意のコードを実行できる可能性がある。

説明：チェックを強化し、型の取り違え (type confusion) の脆弱性に対処しました。

CVE-2022-32915：Tommy Muir 氏 (@Muirey03)

Intel Graphics Driver

対象 OS：macOS Monterey

影響：App がカーネル権限で任意のコードを実行できる可能性がある。

説明：配列境界チェック機能を改善することで、この問題に対処しました。

CVE-2023-23507：匿名の研究者

Kernel

対象 OS：macOS Monterey

影響：App がカーネル権限で任意のコードを実行できる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23516：Jordy Zomer 氏 (@pwningsystems)

Kernel

対象 OS：macOS Monterey

影響：App がカーネル権限で任意のコードを実行できる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23504：ASU SEFCOM の Adam Doupé 氏

Kernel

対象 OS：macOS Monterey

影響：App がカーネルメモリのレイアウトを判断できる可能性がある。

説明：脆弱なコードを削除することで、情報漏洩の脆弱性に対処しました。

CVE-2023-23502：STAR Labs SG Pte. Ltd. (@starlabs_sg) の Pan ZhenPeng 氏 (@Peterpan0927)

Mail

対象 OS：macOS Monterey

影響：App が、圧縮中に使用された一時的なディレクトリを通じて、メールフォルダの添付ファイルにアクセスできる可能性がある。

説明：アクセス制限を改善し、アクセス関連の脆弱性に対処しました。

CVE-2022-42834：SecuRing の Wojciech Reguła 氏 (@_r3ggi)

PackageKit

対象 OS：macOS Monterey

影響：App がルート権限を取得できる可能性がある。

説明：ステート管理を改善し、ロジックの問題に対処しました。

CVE-2023-23497：Mickey Jin 氏 (@patch1t)

Screen Time

対象 OS：macOS Monterey

影響：App がユーザの連絡先に関する情報にアクセスできる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2023-23505：SecuRing の Wojciech Regula 氏 (wojciechregula.blog) および Offensive Security の Csaba Fitzl 氏 (@theevilbit)

TCC

対象 OS：macOS Monterey

影響：App が重要なユーザデータにアクセスできる可能性がある。

説明：この問題は、脆弱なコードを削除することで解決されました。

CVE-2023-27931：Mickey Jin 氏 (@patch1t)

Weather

対象 OS：macOS Monterey

影響：App がプライバシーの環境設定を回避する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23511：SecuRing の Wojciech Regula 氏 (wojciechregula.blog)、匿名の研究者

WebKit

対象 OS：macOS Monterey

影響：悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23518：YeongHyeon Choi 氏 (@hyeon101010)、Hyeon Park 氏 (@tree_segment)、SeOk JEON 氏 (@_seokjeon)、YoungSung Ahn 氏 (@_ZeroSung)、JunSeo Bae 氏 (@snakebjs0107)、Team ApplePIE の Dohyun Lee 氏 (@l33d0hyun)

CVE-2023-23517：YeongHyeon Choi 氏 (@hyeon101010)、Hyeon Park 氏 (@tree_segment)、SeOk JEON 氏 (@_seokjeon)、YoungSung Ahn 氏 (@_ZeroSung)、JunSeo Bae 氏 (@snakebjs0107)、Team ApplePIE の Dohyun Lee 氏 (@l33d0hyun)

Windows Installer

対象 OS：macOS Monterey

影響：App がプライバシーの環境設定を回避する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23508：Mickey Jin 氏 (@patch1t)

ご協力いただいたその他の方々

Kernel

Replicate の Nick Stenning 氏のご協力に感謝いたします。