Apple セキュリティアップデートについて
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。
Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。
セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。
macOS Monterey 12.7.6
2024 年 7 月 29 日リリース
APFS
対象 OS:macOS Monterey
影響:悪意のあるアプリケーションがプライバシーの環境設定を回避する可能性がある。
説明:この問題は、データコンテナへのアクセス制限を改善することで解決しました。
CVE-2024-40783:Kandji の Csaba Fitzl 氏 (@theevilbit)
Apple Neural Engine
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-27826:Minghao Lin 氏および Baidu Security の Ye Zhang 氏 (@VAR10CK)
AppleMobileFileIntegrity
対象 OS:macOS Monterey
影響:アプリが重要なユーザ情報を漏洩させる可能性がある。
説明:コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。
CVE-2024-40775:Mickey Jin 氏 (@patch1t)
AppleMobileFileIntegrity
対象 OS:macOS Monterey
影響:アプリがプライバシーの環境設定を回避する可能性がある。
説明:コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。
CVE-2024-40774:Mickey Jin 氏 (@patch1t)
AppleVA
対象 OS:macOS Monterey
影響:悪意を持って作成されたファイルを処理すると、サービス運用妨害を受ける可能性や、メモリのコンテンツが漏洩する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-27877:Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi)
CoreGraphics
対象 OS:macOS Monterey
影響:悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:入力検証を強化して、領域外読み込みの脆弱性に対処しました。
CVE-2024-40799:D4m0n 氏
CoreMedia
対象 OS:macOS Monterey
影響:悪意を持って作成されたビデオファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。
CVE-2024-27873:CrowdStrike Counter Adversary Operations の Amir Bazine 氏および Karsten König 氏
curl
対象 OS:macOS Monterey
影響:curl に複数の脆弱性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトには Apple ソフトウェアも含まれます。CVE-ID はサードパーティによって割り当てられました。この問題や CVE-ID について詳しくは、cve.org を確認してください。
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
対象 OS:macOS Monterey
影響:アプリが任意のファイルに上書きできる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-40827:匿名の研究者
Disk Management
対象 OS:macOS Monterey
影響:悪意のあるアプリがルート権限を取得できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-40828:Mickey Jin 氏 (@patch1t)
ImageIO
対象 OS:macOS Monterey
影響:画像を処理すると、サービス運用妨害を受ける可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトには Apple ソフトウェアも含まれます。CVE-ID はサードパーティによって割り当てられました。この問題や CVE-ID について詳しくは、cve.org を確認してください。
CVE-2023-6277
CVE-2023-52356
ImageIO
対象 OS:macOS Monterey
影響:悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:入力検証を強化して、領域外読み込みの脆弱性に対処しました。
CVE-2024-40806:Yisumi 氏
Kernel
対象 OS:macOS Monterey
影響:ローカルの攻撃者にシステムを突然終了される可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2024-40816:sqrtpwn 氏
Kernel
対象 OS:macOS Monterey
影響:ローカルの攻撃者にシステムを突然終了される可能性がある。
説明:メモリ処理を強化し、型の取り違え (type confusion) の脆弱性に対処しました。
CVE-2024-40788:Zhejiang University の Minghao Lin 氏および Jiaxun Zhu 氏
Keychain Access
対象 OS:macOS Monterey
影響:攻撃者にアプリを突然終了される可能性がある。
説明:チェックを強化し、型の取り違え (type confusion) の脆弱性に対処しました。
CVE-2024-40803:DoubleYou および Objective-See Foundation の Patrick Wardle 氏
NetworkExtension
対象 OS:macOS Monterey
影響:プライベートブラウズで一部の閲覧履歴が漏洩する可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2024-40796:Adam M. 氏
OpenSSH
対象 OS:macOS Monterey
影響:リモートの攻撃者によって任意のコードが実行される可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトには Apple ソフトウェアも含まれます。CVE-ID はサードパーティによって割り当てられました。この問題や CVE-ID について詳しくは、cve.org を確認してください。
CVE-2024-6387
PackageKit
対象 OS:macOS Monterey
影響:ローカルの攻撃者が権限を昇格できる場合がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-40781:Mickey Jin 氏 (@patch1t)
CVE-2024-40802:Mickey Jin 氏 (@patch1t)
PackageKit
対象 OS:macOS Monterey
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-40823:JingDong の Dawn Security Lab の Zhongquan Li 氏 (@Guluisacat)
PackageKit
対象 OS:macOS Monterey
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2024-27882:Mickey Jin 氏 (@patch1t)
CVE-2024-27883:Kandji の Csaba Fitzl 氏 (@theevilbit)、Mickey Jin 氏 (@patch1t)
Restore Framework
対象 OS:macOS Monterey
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:入力検証を強化し、入力検証の脆弱性に対処しました。
CVE-2024-40800:Cisco Talos の Claudio Bozzato 氏および Francesco Benvenuto 氏
RTKit
対象 OS:macOS Monterey
影響:任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-2024-23296
Safari
対象 OS:macOS Monterey
影響:悪意のあるコンテンツが含まれる Web サイトを表示すると、UI が偽装される可能性があります。
説明:UI の処理を改善することで、この問題を解決しました。
CVE-2024-40817:Yadhu Krishna M 氏、Suma Soft Pvt. Ltd (インド、プネー) の Narendra Bhati 氏 (Manager of Cyber Security)
Scripting Bridge
対象 OS:macOS Monterey
影響:アプリがユーザの連絡先に関する情報にアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2024-27881:Kirin 氏 (@Pwnrin)
Security
対象 OS:macOS Monterey
影響:他社製のアプリの機能拡張に、サンドボックスの正しい制限が課されない場合がある。
説明:サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。
CVE-2024-40821:Joshua Jones 氏
Security
対象 OS:macOS Monterey
影響:アプリが Safari の閲覧履歴を読み取れる可能性がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2024-40798:Adam M. 氏
Shortcuts
対象 OS:macOS Monterey
影響:ショートカットが特定のアクションで、ユーザに確認することなく機微なユーザデータを使用できる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-40833:匿名の研究者
CVE-2024-40835:匿名の研究者
CVE-2024-40807:匿名の研究者
Shortcuts
対象 OS:macOS Monterey
影響:ショートカットがショートカットアプリの機微な設定情報を回避する可能性がある。
説明:ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。
CVE-2024-40834:Tanto Security の Marcio Almeida 氏
Shortcuts
対象 OS:macOS Monterey
影響:インターネットのアクセス権の要件をショートカットが回避してしまう場合がある。
説明:ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。
CVE-2024-40787:匿名の研究者
Shortcuts
対象 OS:macOS Monterey
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
CVE-2024-40793:Kirin 氏 (@Pwnrin)
Shortcuts
対象 OS:macOS Monterey
影響:インターネットのアクセス権の要件をショートカットが回避してしまう場合がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-40809:匿名の研究者
CVE-2024-40812:匿名の研究者
Time Zone
対象 OS:macOS Monterey
影響:攻撃者が、別のユーザの情報を読み取ることができる場合がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2024-23261:Matthew Loewen 氏
ご協力いただいたその他の方々
Image Capture
匿名の研究者のご協力に感謝いたします。
Shortcuts
匿名の研究者のご協力に感謝いたします。