Om sikkerhetsinnholdet i macOS Monterey 12.7

Dette dokumentet beskriver sikkerhetsinnholdet i macOS Monterey 12.7.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

macOS Monterey 12.7

Apple Neural Engine

Tilgjengelig for: macOS Monterey

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) fra Baidu Security

Apple Neural Engine

Tilgjengelig for: macOS Monterey

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2023-40410: Tim Michaud (@TimGMichaud) fra Moveworks.ai

Ask to Buy

Tilgjengelig for: macOS Monterey

Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-38612: Chris Ross (Zoom)

Biometric Authentication

Tilgjengelig for: macOS Monterey

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2023-41232: Liang Wei fra PixiePoint Security

ColorSync

Tilgjengelig for: macOS Monterey

Virkning: En app kan være i stand til å lese vilkårlige filer

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-40406: JeongOhKyea fra Theori

CoreAnimation

Tilgjengelig for: macOS Monterey

Virkning: Behandling av nettinnhold kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-40420: 이준성(Junsung Lee) fra Cross Republic

Disk Management

Tilgjengelig for: macOS Monterey

Virkning: En app kan være i stand til å lese vilkårlige filer

Beskrivelse: Problemet ble løst gjennom forbedret symlink-validering.

CVE-2023-41968: Mickey Jin (@patch1t) og James Hutchins

Game Center

Tilgjengelig for: macOS Monterey

Virkning: En app kan få tilgang til kontakter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.

CVE-2023-40395: Csaba Fitzl (@theevilbit) fra Offensive Security

Kernel

Tilgjengelig for: macOS Monterey

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.

Kernel

Tilgjengelig for: macOS Monterey

Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet mot versjoner av iOS før iOS 16.7.

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-41992: Bill Marczak fra The Citizen Lab hos The University of Torontos Munk School og Maddie Stone fra Googles Threat Analysis Group

libxpc

Tilgjengelig for: macOS Monterey

Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata

Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2023-41073: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Tilgjengelig for: macOS Monterey

Virkning: En app kan være i stand til å slette filer som det ikke har tillatelse til

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2023-40454: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Tilgjengelig for: macOS Monterey

Virkning: Behandling av nettinnhold kan føre til avsløring av sensitive opplysninger

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) fra PK Security

Maps

Tilgjengelig for: macOS Monterey

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.

CVE-2023-40427: Adam M. og Wojciech Regula fra SecuRing (wojciechregula.blog)

Sandbox

Tilgjengelig for: macOS Monterey

Virkning: En app kan være i stand til å overskrive vilkårlige filer

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Ytterligere anerkjennelser

Apple Neural Engine

Vi vil gjerne takke pattern-f (@pattern_F_) fra Ant Security Light-Year Lab for hjelpen.

AppSandbox

Vi vil gjerne takke Kirin (@Pwnrin) for hjelpen.

Kernel

Vi vil gjerne takke Bill Marczak fra The Citizen Lab hos The University of Torontos Munk School og Maddie Stone fra Googles Threat Analysis Group for hjelpen.

libxml2

Vi vil gjerne takke OSS-Fuzz og Ned Williamson fra Google Project Zero for hjelpen.

WebKit

Vi vil gjerne takke Khiem Tran og Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) for hjelpen.

WebRTC

Vi vil gjerne takke en anonym forsker for hjelpen.