Om sikkerhetsinnholdet i macOS Monterey 12.7.2

Dette dokumentet beskriver sikkerhetsinnholdet i macOS Monterey 12.7.2.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

macOS Monterey 12.7.2

Utgitt 11. desember 2023

Accounts

Tilgjengelig for: macOS Monterey

Virkning: Et program kan få tilgang til sensitive brukerdata

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2023-42919: Kirin (@Pwnrin)

AppleEvents

Tilgjengelig for: macOS Monterey

Virkning: En app kan være i stand til å få tilgang til informasjon om en brukers kontakter

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2023-42894: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)

Assets

Tilgjengelig for: macOS Monterey

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Et problem ble løst gjennom forbedret behandling av midlertidige filer.

CVE-2023-42896: Mickey Jin (@patch1t)

Oppføring lagt til 22. mars 2024

CoreServices

Tilgjengelig for: macOS Monterey

Virkning: En bruker kan forårsake uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)

DiskArbitration

Tilgjengelig for: macOS Monterey

Virkning: En prosess kan få administratorrettigheter uten riktig godkjenning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-42931: Yann GASCUEL fra Alter Solutions

Oppføring lagt til 22. mars 2024

Emoji

Tilgjengelig for: macOS Monterey

Virkning: En angriper kan kjøre vilkårlig kode som rot fra låseskjermen

Beskrivelse: Problemet ble løst ved å begrense valgene som vises på en låst enhet.

CVE-2023-41989: Jewel Lambert

Oppføring lagt til 16. juli 2024

FileURL

Tilgjengelig for: macOS Monterey

Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2023-42892: Anthony Cruz @App Tyrant Corp

Oppføring lagt til 22. mars 2024

Find My

Tilgjengelig for: macOS Monterey

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2023-42922: Wojciech Regula fra SecuRing (wojciechregula.blog)

Find My

Tilgjengelig for: macOS Monterey

Virkning: Et program kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av filer.

CVE-2023-42834: Csaba Fitzl (@theevilbit) fra Offensive Security

Oppføring lagt til 16. februar 2024

ImageIO

Tilgjengelig for: macOS Monterey

Virkning: Behandling av et bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-42899: Meysam Firouzi @R00tkitSMM og Junsung Lee

IOKit

Tilgjengelig for: macOS Monterey

Virkning: En app kan potensielt overvåke tastetrykk uten brukerens tillatelse

Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2023-42891: en anonym forsker

IOUSBDeviceFamily

Tilgjengelig for: macOS Monterey

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.

Oppføring lagt til 22. mars 2024

Kernel

Tilgjengelig for: macOS Monterey

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) fra Synacktiv (@Synacktiv)

Libsystem

Tilgjengelig for: macOS Monterey

Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata

Beskrivelse: Et tillatelsesproblem ble løst ved å fjerne sårbar kode og legge til ytterligere kontroller.

CVE-2023-42893

Oppføring lagt til 22. mars 2024

Model I/O

Tilgjengelig for: macOS Monterey

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2023-3618

Oppføring lagt til 22. mars 2024

ncurses

Tilgjengelig for: macOS Monterey

Virkning: En ekstern bruker kan være i stand til å forårsake uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2020-19185

CVE-2020-19186

CVE-2020-19187

CVE-2020-19188

CVE-2020-19189

CVE-2020-19190

quarantine

Tilgjengelig for: macOS Monterey

Virkning: En app kan utilsiktet kjøre kode utenfor sandkassen sin eller med bestemte høyere tillatelser

Beskrivelse: Et tilgangsproblem ble løst med forbedringer av sandkassen.

CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) og Csaba Fitzl (@theevilbit) fra Offensive Security

Oppføring lagt til 16. februar 2024

Sandbox

Tilgjengelig for: macOS Monterey

Virkning: En angriper kan få tilgang til tilkoblede nettverksvolumer som er montert i hjemmekatalogen

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

Oppføring lagt til 16. februar 2024

Sandbox

Tilgjengelig for: macOS Monterey

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2023-42936: Csaba Fitzl (@theevilbit) fra OffSec

Oppføring lagt til 22. mars 2024, oppdatert 16. juli 2024

Shell

Tilgjengelig for: macOS Monterey

Virkning: En app kan være i stand til å endre beskyttede deler av filsystemet

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-42930: Arsenii Kostromin (0x3c3e)

Oppføring lagt til 22. mars 2024

TCC

Tilgjengelig for: macOS Monterey

Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2023-42932: Zhongquan Li (@Guluisacat)

TCC

Tilgjengelig for: macOS Monterey

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.

CVE-2023-42947: Zhongquan Li (@Guluisacat) fra Dawn Security Lab hos JingDong

Oppføring lagt til 22. mars 2024

Vim

Tilgjengelig for: macOS Monterey

Virkning: Å åpne en skadelig fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst ved å oppdatere til Vim-versjon 9.0.1969.

CVE-2023-5344

Ytterligere anerkjennelser

Preview

Vi vil gjerne takke Akshay Nagpal for hjelpen.

Oppføring lagt til 16. februar 2024

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: