Over de beveiligingsinhoud van macOS Monterey 12.6.6

In dit document wordt de beveiligingsinhoud van macOS Monterey 12.6.6 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Monterey 12.6.6

Releasedatum: 18 mei 2023

Accessibility

Beschikbaar voor: macOS Monterey

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-32388: Kirin (@Pwnrin)

AppleEvents

Beschikbaar voor: macOS Monterey

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van gevoelige gegevens.

CVE-2023-28191: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Beschikbaar voor: macOS Monterey

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2023-32411: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Beschikbaar voor: macOS Monterey

Impact: een app kan mogelijk code injecteren in gevoelige binaire bestanden die gebundeld zijn met Xcode

Beschrijving: dit probleem is verholpen door op systeemniveau hardened runtime te forceren op de betrokken binaire bestanden.

CVE-2023-32383: James Duffy (mangoSecure)

Contacts

Beschikbaar voor: macOS Monterey

Impact: een app kan onbeveiligde gebruikersgegevens observeren

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.

CVE-2023-32386: Kirin (@Pwnrin)

CUPS

Beschikbaar voor: macOS Monterey

Impact: een niet-geverifieerde gebruiker kan toegang krijgen tot recent afgedrukte documenten

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2023-32360: Gerhard Muth

dcerpc

Beschikbaar voor: macOS Monterey

Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-32387: Dimitrios Tatsis van Cisco Talos

Dev Tools

Beschikbaar voor: macOS Monterey

Impact: een app in een sandbox kan mogelijk systeemlogboeken verzamelen

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2023-27945: Mickey Jin (@patch1t)

GeoServices

Beschikbaar voor: macOS Monterey

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-32392: Adam M.

Bijgewerkt op 21 december 2023

ImageIO

Beschikbaar voor: macOS Monterey

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-23535: ryuzaki

ImageIO

Beschikbaar voor: macOS Monterey

Impact: het verwerken van een afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) in samenwerking met Trend Micro Zero Day Initiative

IOSurface

Beschikbaar voor: macOS Monterey

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu

Kernel

Beschikbaar voor: macOS Monterey

Impact: een app in een sandbox kan mogelijk systeembrede netwerkverbindingen observeren

Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.

CVE-2023-27940: James Duffy (mangoSecure)

Kernel

Beschikbaar voor: macOS Monterey

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) van Synacktiv (@Synacktiv) in samenwerking met Trend Micro Zero Day Initiative

Kernel

Beschikbaar voor: macOS Monterey

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-32398: Adam Doupé van ASU SEFCOM

LaunchServices

Beschikbaar voor: macOS Monterey

Impact: een app kan Gatekeeper-controles omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) van SecuRing (wojciechregula.blog)

libxpc

Beschikbaar voor: macOS Monterey

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-32369: Jonathan Bar Or van Microsoft, Anurag Bohra van Microsoft en Michael Pearse van Microsoft

libxpc

Beschikbaar voor: macOS Monterey

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2023-32405: Thijs Alkemade (@xnyhps) van Computest Sector 7

MallocStackLogging

Beschikbaar voor: macOS Monterey

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: dit probleem is verholpen door verbeterd bestandsbeheer.

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

Toegevoegd op 21 december 2023

Metal

Beschikbaar voor: macOS Monterey

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Beschikbaar voor: macOS Monterey

Impact: het verwerken van een 3D-model kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-32375: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

CVE-2023-32382: Mickey Jin (@patch1t)

CVE-2023-32368: Mickey Jin (@patch1t)

Model I/O

Beschikbaar voor: macOS Monterey

Impact: het verwerken van een 3D-model kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2023-32380: Mickey Jin (@patch1t)

NetworkExtension

Beschikbaar voor: macOS Monterey

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2023-32403: Adam M.

Bijgewerkt op 21 december 2023

PackageKit

Beschikbaar voor: macOS Monterey

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-32355: Mickey Jin (@patch1t)

Perl

Beschikbaar voor: macOS Monterey

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-32395: Arsenii Kostromin (0x3c3e)

Quick Look

Beschikbaar voor: macOS Monterey

Impact: het parseren van een Office-document kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2023-32401: Holger Fuhrmannek van Deutsche Telekom Security GmbH namens BSI (Duitse overheidsinstelling voor informatiebeveiliging)

Toegevoegd op 21 december 2023

Sandbox

Beschikbaar voor: macOS Monterey

Impact: een app kan toegang behouden tot bestanden voor systeemconfiguratie, zelfs nadat de toestemming is ingetrokken

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa van FFRI Security, Inc., Kirin (@Pwnrin), en Csaba Fitzl (@theevilbit) van Offensive Security

Shell

Beschikbaar voor: macOS Monterey

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Telephony

Beschikbaar voor: macOS Monterey

Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-32412: Ivan Fratric van Google Project Zero

TV App

Beschikbaar voor: macOS Monterey

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-32408: Adam M.

Aanvullende erkenning

libxml2

Met dank aan OSS-Fuzz en Ned Williamson van Google Project Zero voor de hulp.

Reminders

Met dank aan Kirin (@Pwnrin) voor de hulp.

Security

Met dank aan James Duffy (mangoSecure) voor de hulp.

Wi-Fi

Met dank aan Adam M. voor de hulp.

Bijgewerkt op 21 december 2023

Wi-Fi Connectivity

Met dank aan Adam M. voor de hulp.

Bijgewerkt op 21 december 2023

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: