Over de beveiligingsinhoud van macOS Monterey 12.6.6
In dit document wordt de beveiligingsinhoud van macOS Monterey 12.6.6 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
macOS Monterey 12.6.6
Releasedatum: 18 mei 2023
Accessibility
Beschikbaar voor: macOS Monterey
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Beschikbaar voor: macOS Monterey
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van gevoelige gegevens.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Beschikbaar voor: macOS Monterey
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Beschikbaar voor: macOS Monterey
Impact: een app kan mogelijk code injecteren in gevoelige binaire bestanden die gebundeld zijn met Xcode
Beschrijving: dit probleem is verholpen door op systeemniveau hardened runtime te forceren op de betrokken binaire bestanden.
CVE-2023-32383: James Duffy (mangoSecure)
Contacts
Beschikbaar voor: macOS Monterey
Impact: een app kan onbeveiligde gebruikersgegevens observeren
Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.
CVE-2023-32386: Kirin (@Pwnrin)
CUPS
Beschikbaar voor: macOS Monterey
Impact: een niet-geverifieerde gebruiker kan toegang krijgen tot recent afgedrukte documenten
Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.
CVE-2023-32360: Gerhard Muth
dcerpc
Beschikbaar voor: macOS Monterey
Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2023-32387: Dimitrios Tatsis van Cisco Talos
Dev Tools
Beschikbaar voor: macOS Monterey
Impact: een app in een sandbox kan mogelijk systeemlogboeken verzamelen
Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Beschikbaar voor: macOS Monterey
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-32392: Adam M.
Bijgewerkt op 21 december 2023
ImageIO
Beschikbaar voor: macOS Monterey
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-23535: ryuzaki
ImageIO
Beschikbaar voor: macOS Monterey
Impact: het verwerken van een afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) in samenwerking met Trend Micro Zero Day Initiative
IOSurface
Beschikbaar voor: macOS Monterey
Impact: een app kan gevoelige kernelstatus vrijgeven
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Beschikbaar voor: macOS Monterey
Impact: een app in een sandbox kan mogelijk systeembrede netwerkverbindingen observeren
Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Beschikbaar voor: macOS Monterey
Impact: een app kan toegang krijgen tot rootbevoegdheden
Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) van Synacktiv (@Synacktiv) in samenwerking met Trend Micro Zero Day Initiative
Kernel
Beschikbaar voor: macOS Monterey
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2023-32398: Adam Doupé van ASU SEFCOM
LaunchServices
Beschikbaar voor: macOS Monterey
Impact: een app kan Gatekeeper-controles omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) van SecuRing (wojciechregula.blog)
libxpc
Beschikbaar voor: macOS Monterey
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32369: Jonathan Bar Or van Microsoft, Anurag Bohra van Microsoft en Michael Pearse van Microsoft
libxpc
Beschikbaar voor: macOS Monterey
Impact: een app kan toegang krijgen tot rootbevoegdheden
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2023-32405: Thijs Alkemade (@xnyhps) van Computest Sector 7
MallocStackLogging
Beschikbaar voor: macOS Monterey
Impact: een app kan toegang krijgen tot rootbevoegdheden
Beschrijving: dit probleem is verholpen door verbeterd bestandsbeheer.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Toegevoegd op 21 december 2023
Metal
Beschikbaar voor: macOS Monterey
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Beschikbaar voor: macOS Monterey
Impact: het verwerken van een 3D-model kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-32375: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro
CVE-2023-32382: Mickey Jin (@patch1t)
CVE-2023-32368: Mickey Jin (@patch1t)
Model I/O
Beschikbaar voor: macOS Monterey
Impact: het verwerken van een 3D-model kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Beschikbaar voor: macOS Monterey
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.
CVE-2023-32403: Adam M.
Bijgewerkt op 21 december 2023
PackageKit
Beschikbaar voor: macOS Monterey
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Beschikbaar voor: macOS Monterey
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Beschikbaar voor: macOS Monterey
Impact: het parseren van een Office-document kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2023-32401: Holger Fuhrmannek van Deutsche Telekom Security GmbH namens BSI (Duitse overheidsinstelling voor informatiebeveiliging)
Toegevoegd op 21 december 2023
Sandbox
Beschikbaar voor: macOS Monterey
Impact: een app kan toegang behouden tot bestanden voor systeemconfiguratie, zelfs nadat de toestemming is ingetrokken
Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa van FFRI Security, Inc., Kirin (@Pwnrin), en Csaba Fitzl (@theevilbit) van Offensive Security
Shell
Beschikbaar voor: macOS Monterey
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Beschikbaar voor: macOS Monterey
Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2023-32412: Ivan Fratric van Google Project Zero
TV App
Beschikbaar voor: macOS Monterey
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-32408: Adam M.
Aanvullende erkenning
libxml2
Met dank aan OSS-Fuzz en Ned Williamson van Google Project Zero voor de hulp.
Reminders
Met dank aan Kirin (@Pwnrin) voor de hulp.
Security
Met dank aan James Duffy (mangoSecure) voor de hulp.
Wi-Fi
Met dank aan Adam M. voor de hulp.
Bijgewerkt op 21 december 2023
Wi-Fi Connectivity
Met dank aan Adam M. voor de hulp.
Bijgewerkt op 21 december 2023
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.