macOS Monterey 12.7 のセキュリティコンテンツについて

macOS Monterey 12.7 のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。

macOS Monterey 12.7

2023 年 9 月 21 日リリース

Apple Neural Engine

対象 OS:macOS Monterey

影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-40412:Mohamed GHANNAM 氏 (@_simo36)

CVE-2023-40409:Baidu Security の Ye Zhang 氏 (@VAR10CK)

2023 年 9 月 26 日に追加

Apple Neural Engine

対象 OS:macOS Monterey

影響:アプリがカーネルメモリを漏洩させる可能性がある。

説明:入力検証を強化することで、領域外読み込みに対処しました。

CVE-2023-40410:Moveworks.ai の Tim Michaud 氏 (@TimGMichaud)

2023 年 9 月 26 日に追加

Ask to Buy

対象 OS:macOS Monterey

影響:アプリが保護されたユーザデータにアクセスできる可能性がある。

説明:チェックを強化することで、この問題に対処しました。

CVE-2023-38612:Chris Ross 氏 (Zoom)

2023 年 12 月 22 日に追加

Biometric Authentication

対象 OS:macOS Monterey

影響:アプリがカーネルメモリを漏洩させる可能性がある。

説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。

CVE-2023-41232:PixiePoint Security の Liang Wei 氏

2023 年 9 月 26 日に追加

ColorSync

対象 OS:macOS Monterey

影響:アプリが任意のファイルを読み取れる可能性がある。

説明:チェックを強化することで、この問題に対処しました。

CVE-2023-40406:Theori の JeongOhKyea 氏

2023 年 9 月 26 日に追加

CoreAnimation

対象 OS:macOS Monterey

影響:Web コンテンツを処理すると、サービス運用妨害を受ける可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-40420:Cross Republic の 이준성 (Junsung Lee) 氏

2023 年 9 月 26 日に追加

Disk Management

対象 OS:macOS Monterey

影響:アプリが任意のファイルを読み取れる可能性がある。

説明:シンボリックリンクの検証を改善することで、この問題に対処しました。

CVE-2023-41968:Mickey Jin 氏 (@patch1t)、James Hutchins 氏

2023 年 9 月 26 日に追加

Game Center

対象 OS:macOS Monterey

影響:アプリが連絡先にアクセスできる可能性がある。

説明:キャッシュの処理を改善することで、この問題に対処しました。

CVE-2023-40395:Offensive Security の Csaba Fitzl 氏 (@theevilbit)

2023 年 9 月 26 日に追加

Kernel

対象 OS:macOS Monterey

影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-41984:STAR Labs SG Pte. Ltd. の Pan ZhenPeng 氏 (@Peterpan0927)

2023 年 9 月 26 日に追加

Kernel

対象 OS:macOS Monterey

影響:ローカルの攻撃者が権限を昇格できる場合がある。Apple では、iOS 16.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。

説明:チェックを強化することで、この問題に対処しました。

CVE-2023-41992:The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏

libxpc

対象 OS:macOS Monterey

影響:アプリが保護されたユーザデータにアクセスできる可能性がある。

説明:ステート管理を改善し、認証の脆弱性に対処しました。

CVE-2023-41073:Tencent Security Xuanwu Lab (xlab.tencent.com) の Zhipeng Huo 氏 (@R3dF09)

2023 年 9 月 26 日に追加

libxpc

対象 OS:macOS Monterey

影響:アプリが、権限を持っていないファイルを削除できる可能性がある。

説明:制限を強化し、アクセス権の問題に対処しました。

CVE-2023-40454:Tencent Security Xuanwu Lab (xlab.tencent.com) の Zhipeng Huo 氏 (@R3dF09)

2023 年 9 月 26 日に追加

libxslt

対象 OS:macOS Monterey

影響:Web コンテンツを処理すると、機密情報が漏洩する可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-40403:PK Security の Dohyun Lee 氏 (@l33d0hyun)

2023 年 9 月 26 日に追加

Maps

対象 OS:macOS Monterey

影響:アプリが機微な位置情報を読み取れる可能性がある。

説明:キャッシュの処理を改善することで、この問題に対処しました。

CVE-2023-40427:Adam M. 氏、SecuRing の Wojciech Regula 氏 (wojciechregula.blog)

2023 年 9 月 26 日に追加

Sandbox

対象 OS:macOS Monterey

影響:アプリが任意のファイルに上書きできる可能性がある。

説明:配列境界チェック機能を改善することで、この問題に対処しました。

CVE-2023-40452:Yiğit Can YILMAZ 氏 (@yilmazcanyigit)

2023 年 9 月 26 日に追加

ご協力いただいたその他の方々

Apple Neural Engine

Ant Security Light-Year Lab の pattern-f 氏 (@pattern_F_) のご協力に感謝いたします。

2023 年 12 月 22 日に追加

AppSandbox

Kirin 氏 (@Pwnrin) のご協力に感謝いたします。

2023 年 9 月 26 日に追加

Kernel

The University of Toronto's Munk School の The Citizen Lab の Bill Marczak 氏、Google の Threat Analysis Group の Maddie Stone 氏のご協力に感謝いたします。

libxml2

OSS-Fuzz、Google Project Zero の Ned Williamson 氏のご協力に感謝いたします。

2023 年 9 月 26 日に追加

WebKit

Khiem Tran 氏、プネー市 (インド) の Suma Soft Pvt. Ltd の Narendra Bhati 氏のご協力に感謝いたします。

2023 年 9 月 26 日に追加

WebRTC

匿名の研究者のご協力に感謝いたします。

2023 年 9 月 26 日に追加

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: