Om sikkerhetsinnholdet i macOS Monterey 12.7.6

Dette dokumentet beskriver sikkerhetsinnholdet i macOS Monterey 12.7.6.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple-produktsikkerhet.

macOS Monterey 12.7.6

Utgitt 29. juli 2024

APFS

Tilgjengelig for: macOS Monterey

Virkning: Et skadelig program kan omgå personverninnstillinger

Beskrivelse: Problemet ble løst med forbedret begrensning av tilgang til databeholder.

CVE-2024-40783: Csaba Fitzl (@theevilbit) fra Kandji

Apple Neural Engine

Tilgjengelig for: macOS Monterey

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-27826: Minghao Lin og Ye Zhang (@VAR10CK) fra Baidu Security

AppleMobileFileIntegrity

Tilgjengelig for: macOS Monterey

Virkning: En app kan kanskje lekke sensitiv brukerinformasjon

Beskrivelse: Et problem med nedgradering ble løst gjennom ekstra kodesigneringsrestriksjoner.

CVE-2024-40775: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tilgjengelig for: macOS Monterey

Virkning: En app kan være i stand til å omgå personvernpreferanser

Beskrivelse: Et problem med nedgradering ble løst gjennom ekstra kodesigneringsrestriksjoner.

CVE-2024-40774: Mickey Jin (@patch1t)

AppleVA

Tilgjengelig for: macOS Monterey

Virkning: Behandling av en skadelig fil kan føre til tjenestenekt eller potensiell avsløring av minneinnhold

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-27877: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

CoreGraphics

Tilgjengelig for: macOS Monterey

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-40799: D4m0n

CoreMedia

Tilgjengelig for: macOS Monterey

Virkning: Behandling av en skadelig videofil kan føre til uventet appavslutning.

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-27873: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

curl

Tilgjengelig for: macOS Monterey

Virkning: Flere problemer i curl

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2024-2004

CVE-2024-2379

CVE-2024-2398

CVE-2024-2466

DesktopServices

Tilgjengelig for: macOS Monterey

Virkning: En app kan være i stand til å overskrive vilkårlige filer

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40827: en anonym forsker

Disk Management

Tilgjengelig for: macOS Monterey

Virkning: En skadelig app kan få rotrettigheter

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40828: Mickey Jin (@patch1t)

ImageIO

Tilgjengelig for: macOS Monterey

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Tilgjengelig for: macOS Monterey

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-40806: Yisumi

Kernel

Tilgjengelig for: macOS Monterey

Virkning: En lokal angriper kan forårsake uventet systemavslutning

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2024-40816: sqrtpwn

Kernel

Tilgjengelig for: macOS Monterey

Virkning: En lokal angriper kan forårsake uventet systemavslutning

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University

Keychain Access

Tilgjengelig for: macOS Monterey

Virkning: En angriper kan forårsake uventet appavslutning

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2024-40803: Patrick Wardle fra DoubleYou & the Objective-See Foundation

NetworkExtension

Tilgjengelig for: macOS Monterey

Virkning: Privat nettlesing kan lekke deler av nettleserloggen

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-40796: Adam M.

OpenSSH

Tilgjengelig for: macOS Monterey

Virkning: En ekstern angriper kan være i stand til å starte utilsiktet kodekjøring

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2024-6387

PackageKit

Tilgjengelig for: macOS Monterey

Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40781: Mickey Jin (@patch1t)

CVE-2024-40802: Mickey Jin (@patch1t)

PackageKit

Tilgjengelig for: macOS Monterey

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40823: Zhongquan Li (@Guluisacat) fra Dawn Security Lab of JingDong

PackageKit

Tilgjengelig for: macOS Monterey

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-27882: Mickey Jin (@patch1t)

CVE-2024-27883: Csaba Fitzl (@theevilbit) fra Kandji og Mickey Jin (@patch1t)

Restore Framework

Tilgjengelig for: macOS Monterey

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.

CVE-2024-40800: Claudio Bozzato og Francesco Benvenuto fra Cisco Talos

RTKit

Tilgjengelig for: macOS Monterey

Virkning: En angriper med muligheter for utilsiktet lesing og skriving til kjernen kan forbigå beskyttelser av kjerneminnet. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet.

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2024-23296

Safari

Tilgjengelig for: macOS Monterey

Virkning: Besøk på et nettsted som skjuler skadelig innhold, kan føre til UI-forfalskning

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av grensesnittet.

CVE-2024-40817: Yadhu Krishna M og Narendra Bhati, Manager of Cyber Security hos Suma Soft Pvt. Ltd, Pune (India)

Scripting Bridge

Tilgjengelig for: macOS Monterey

Virkning: En app kan få tilgang til informasjon om en brukers kontakter

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-27881: Kirin (@Pwnrin)

Security

Tilgjengelig for: macOS Monterey

Virkning: Apputvidelser fra tredjeparter får ikke nødvendigvis de riktige sandkassebegrensningene

Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.

CVE-2024-40821: Joshua Jones

Security

Tilgjengelig for: macOS Monterey

Virkning: Et program kan være i stand til å lese nettleserloggen til Safari

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-40798: Adam M.

Shortcuts

Tilgjengelig for: macOS Monterey

Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-40833: en anonym forsker

CVE-2024-40835: en anonym forsker

CVE-2024-40807: en anonym forsker

Shortcuts

Tilgjengelig for: macOS Monterey

Virkning: En snarvei kan omgå sensitive innstillinger for Snarveier-programmet

Beskrivelse: Dette problemet ble løst ved å legge inn en ekstra forespørsel om brukersamtykke.

CVE-2024-40834: Marcio Almeida fra Tanto Security

Shortcuts

Tilgjengelig for: macOS Monterey

Virkning: En snarvei kan forbigå krav om internettillatelse

Beskrivelse: Dette problemet ble løst ved å legge inn en ekstra forespørsel om brukersamtykke.

CVE-2024-40787: en anonym forsker

Shortcuts

Tilgjengelig for: macOS Monterey

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Tilgjengelig for: macOS Monterey

Virkning: En snarvei kan forbigå krav om internettillatelse

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-40809: en anonym forsker

CVE-2024-40812: en anonym forsker

Siri

Tilgjengelig for: macOS Monterey

Virkning: En app som kjøres i sandkasse kan få tilgang til sensitive brukerdata i systemlogger

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-44205: Jiahui Hu (梅零落) og Meng Zhang (鲸落) hos NorthSea

Oppføring lagt til 15. oktober 2024

Time Zone

Tilgjengelig for: macOS Monterey

Virkning: En angriper kan lese informasjon som hører til en annen bruker

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2024-23261: Matthew Loewen

Ytterligere anerkjennelser

Image Capture

Vi vil gjerne takke en anonym forsker for hjelpen.

Shortcuts

Vi vil gjerne takke en anonym forsker for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: