Om sikkerhetsinnholdet i macOS Monterey 12.7.6

Dette dokumentet beskriver sikkerhetsinnholdet i macOS Monterey 12.7.6.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple-produktsikkerhet.

macOS Monterey 12.7.6

APFS

Tilgjengelig for: macOS Monterey

Virkning: Et skadelig program kan omgå personverninnstillinger

Beskrivelse: Problemet ble løst med forbedret begrensning av tilgang til databeholder.

CVE-2024-40783: Csaba Fitzl (@theevilbit) fra Kandji

Apple Neural Engine

Tilgjengelig for: macOS Monterey

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-27826: Minghao Lin og Ye Zhang (@VAR10CK) fra Baidu Security

AppleMobileFileIntegrity

Tilgjengelig for: macOS Monterey

Virkning: En app kan kanskje lekke sensitiv brukerinformasjon

Beskrivelse: Et problem med nedgradering ble løst gjennom ekstra kodesigneringsrestriksjoner.

CVE-2024-40775: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tilgjengelig for: macOS Monterey

Virkning: En app kan være i stand til å omgå personvernpreferanser

Beskrivelse: Et problem med nedgradering ble løst gjennom ekstra kodesigneringsrestriksjoner.

CVE-2024-40774: Mickey Jin (@patch1t)

AppleVA

Tilgjengelig for: macOS Monterey

Virkning: Behandling av en skadelig fil kan føre til tjenestenekt eller potensiell avsløring av minneinnhold

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-27877: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

CoreGraphics

Tilgjengelig for: macOS Monterey

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-40799: D4m0n

CoreMedia

Tilgjengelig for: macOS Monterey

Virkning: Behandling av en skadelig videofil kan føre til uventet appavslutning.

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-27873: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

curl

Tilgjengelig for: macOS Monterey

Virkning: Flere problemer i curl

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2024-2004

CVE-2024-2379

CVE-2024-2398

CVE-2024-2466

DesktopServices

Tilgjengelig for: macOS Monterey

Virkning: En app kan være i stand til å overskrive vilkårlige filer

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40827: en anonym forsker

Disk Management

Tilgjengelig for: macOS Monterey

Virkning: En skadelig app kan få rotrettigheter

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40828: Mickey Jin (@patch1t)

ImageIO

Tilgjengelig for: macOS Monterey

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Tilgjengelig for: macOS Monterey

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-40806: Yisumi

Kernel

Tilgjengelig for: macOS Monterey

Virkning: En lokal angriper kan forårsake uventet systemavslutning

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2024-40816: sqrtpwn

Kernel

Tilgjengelig for: macOS Monterey

Virkning: En lokal angriper kan forårsake uventet systemavslutning

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University

Keychain Access

Tilgjengelig for: macOS Monterey

Virkning: En angriper kan forårsake uventet appavslutning

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2024-40803: Patrick Wardle fra DoubleYou & the Objective-See Foundation

NetworkExtension

Tilgjengelig for: macOS Monterey

Virkning: Privat nettlesing kan lekke deler av nettleserloggen

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-40796: Adam M.

OpenSSH

Tilgjengelig for: macOS Monterey

Virkning: En ekstern angriper kan være i stand til å starte utilsiktet kodekjøring

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2024-6387

PackageKit

Tilgjengelig for: macOS Monterey

Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40781: Mickey Jin (@patch1t)

CVE-2024-40802: Mickey Jin (@patch1t)

PackageKit

Tilgjengelig for: macOS Monterey

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40823: Zhongquan Li (@Guluisacat) fra Dawn Security Lab of JingDong

PackageKit

Tilgjengelig for: macOS Monterey

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-27882: Mickey Jin (@patch1t)

CVE-2024-27883: Csaba Fitzl (@theevilbit) fra Kandji og Mickey Jin (@patch1t)

Restore Framework

Tilgjengelig for: macOS Monterey

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.

CVE-2024-40800: Claudio Bozzato og Francesco Benvenuto fra Cisco Talos

RTKit

Tilgjengelig for: macOS Monterey

Virkning: En angriper med muligheter for utilsiktet lesing og skriving til kjernen kan forbigå beskyttelser av kjerneminnet. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet.

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2024-23296

Safari

Tilgjengelig for: macOS Monterey

Virkning: Besøk på et nettsted som skjuler skadelig innhold, kan føre til UI-forfalskning

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av grensesnittet.

CVE-2024-40817: Yadhu Krishna M og Narendra Bhati, Manager of Cyber Security hos Suma Soft Pvt. Ltd, Pune (India)

Scripting Bridge

Tilgjengelig for: macOS Monterey

Virkning: En app kan få tilgang til informasjon om en brukers kontakter

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-27881: Kirin (@Pwnrin)

Security

Tilgjengelig for: macOS Monterey

Virkning: Apputvidelser fra tredjeparter får ikke nødvendigvis de riktige sandkassebegrensningene

Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.

CVE-2024-40821: Joshua Jones

Security

Tilgjengelig for: macOS Monterey

Virkning: Et program kan være i stand til å lese nettleserloggen til Safari

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-40798: Adam M.

Shortcuts

Tilgjengelig for: macOS Monterey

Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-40833: en anonym forsker

CVE-2024-40835: en anonym forsker

CVE-2024-40807: en anonym forsker

Shortcuts

Tilgjengelig for: macOS Monterey

Virkning: En snarvei kan omgå sensitive innstillinger for Snarveier-programmet

Beskrivelse: Dette problemet ble løst ved å legge inn en ekstra forespørsel om brukersamtykke.

CVE-2024-40834: Marcio Almeida fra Tanto Security

Shortcuts

Tilgjengelig for: macOS Monterey

Virkning: En snarvei kan forbigå krav om internettillatelse

Beskrivelse: Dette problemet ble løst ved å legge inn en ekstra forespørsel om brukersamtykke.

CVE-2024-40787: en anonym forsker

Shortcuts

Tilgjengelig for: macOS Monterey

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Tilgjengelig for: macOS Monterey

Virkning: En snarvei kan forbigå krav om internettillatelse

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-40809: en anonym forsker

CVE-2024-40812: en anonym forsker

Siri

Tilgjengelig for: macOS Monterey

Virkning: En app som kjøres i sandkasse kan få tilgang til sensitive brukerdata i systemlogger

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-44205: Jiahui Hu (梅零落) og Meng Zhang (鲸落) hos NorthSea

Time Zone

Tilgjengelig for: macOS Monterey

Virkning: En angriper kan lese informasjon som hører til en annen bruker

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2024-23261: Matthew Loewen

Ytterligere anerkjennelser

Image Capture

Vi vil gjerne takke en anonym forsker for hjelpen.

Shortcuts

Vi vil gjerne takke en anonym forsker for hjelpen.