Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Monterey 12.6.4
Utgitt 27. mars 2023
Apple Neural Engine
Tilgjengelig for: macOS Monterey
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
Tilgjengelig for: macOS Monterey
Virkning: En bruker kan få tilgang til beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Tilgjengelig for: macOS Monterey
Virkning: Et arkiv kan være i stand til å omgå Gatekeeper
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) fra Red Canary og Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring oppdatert 8. juni 2023
Calendar
Tilgjengelig for: macOS Monterey
Virkning: Importering av en skadelig kalenderinvitasjon kan eksfiltrere brukerinformasjon
Beskrivelse: Flere valideringsproblemer ble løst gjennom forbedret inndatarensing.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
ColorSync
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å lese vilkårlige filer
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-27955: JeongOhKyea
CommCenter
Tilgjengelig for: macOS Monterey
Virkning: En app kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2023-27936: Tingting Yin fra Tsinghua University
CoreCapture
Tilgjengelig for: macOS Monterey
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-28181: Tingting Yin fra Tsinghua University
Oppføring lagt til 8. juni 2023
dcerpc
Tilgjengelig for: macOS Monterey
Virkning: En ekstern bruker kan være i stand til å forårsake uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2023-27935: Aleksandar Nikolic fra Cisco Talos
dcerpc
Tilgjengelig for: macOS Monterey
Virkning: En ekstern angriper kan være i stand til å forårsake uventet appavslutning eller utilsiktet kodekjøring
Beskrivelse: Et problem med initialisering av minne ble løst.
CVE-2023-27934: Aleksandar Nikolic fra Cisco Talos
Oppføring lagt til 8. juni 2023
dcerpc
Tilgjengelig for: macOS Monterey
Virkning: En ekstern bruker kan forårsake uventet systemavslutning eller skadet kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-27953: Aleksandar Nikolic fra Cisco Talos
CVE-2023-27958: Aleksandar Nikolic fra Cisco Talos
Find My
Tilgjengelig for: macOS Monterey
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-23537: Adam M.
Oppføring lagt til 21. desember 2023
FontParser
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en fontfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2023-32366: Ye Zhang (@VAR10CK) fra Baidu Security
Oppføring lagt til 21. desember 2023
Foundation
Tilgjengelig for: macOS Monterey
Virkning: Parsing av en plist med skadelig utforming kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.
CVE-2023-27937: en anonym forsker
ImageIO
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-27946: Mickey Jin (@patch1t)
IOAcceleratorFamily
Tilgjengelig for: macOS Monterey
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-32378: Murray Mike
Oppføring lagt til 21. desember 2023
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Et problem med lesing utenfor området førte til avdekking av kjerneminnet. Dette ble løst gjennom forbedret validering av inndata.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Oppføring lagt til 8. juni 2023, oppdatert 21. desember 2023
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2023-23536: Félix Poulin-Bélanger og David Pan Ogea
Oppføring lagt til 8. juni 2023, oppdatert 21. desember 2023
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2023-23514: Xinru Chi fra Pangu Lab og Ned Williamson fra Google Project Zero
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-27933: sqrtpwn
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å forårsake tjenestenekt
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2023-28185: Pan ZhenPeng (@) fra STAR Labs SG Pte. Ltd.
Oppføring lagt til 21. desember 2023
libpthread
Tilgjengelig for: macOS Monterey
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.
CVE-2023-41075: Zweig fra Kunlun Lab
Oppføring lagt til 21. desember 2023
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje se sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-28189: Mickey Jin (@patch1t)
Oppføring lagt til 8. juni 2023
Messages
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.
CVE-2023-28197: Joshua Jones
Oppføring lagt til 21. desember 2023
Model I/O
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
Tilgjengelig for: macOS Monterey
Virkning: En bruker i en privilegert nettverksposisjon kan være i stand til å forfalske en VPN-server som er konfigurert med autentisering kun via EAP på en enhet
Beskrivelse: Problemet ble løst gjennom forbedret autentisering.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-23538: Mickey Jin (@patch1t)
CVE-2023-27962: Mickey Jin (@patch1t)
Podcasts
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Tilgjengelig for: macOS Monterey
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa fra FFRI Security, Inc. og Csaba Fitzl (@theevilbit) fra Offensive Security
Sandbox
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
Tilgjengelig for: macOS Monterey
Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren
Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.
CVE-2023-27963: Jubaer Alnazi Jabin fra TRS Group Of Companies og Wenchao Li og Xiaolong Bai fra Alibaba Group
System Settings
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-23542: Adam M.
Oppføring oppdatert 21. desember 2023
System Settings
Tilgjengelig for: macOS Monterey
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering.
CVE-2023-28192: Guilherme Rambo fra Best Buddy Apps (rambo.codes)
Vim
Tilgjengelig for: macOS Monterey
Virkning: Flere problemer i Vim
Beskrivelse: Flere problemer ble løst ved å oppdatere til Vim-versjon 9.0.1191.
CVE-2023-0433
CVE-2023-0512
XPC
Tilgjengelig for: macOS Monterey
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Dette problemet ble løst med en ny rettighet.
CVE-2023-27944: Mickey Jin (@patch1t)
Ytterligere anerkjennelser
Activation Lock
Vi vil gjerne takke Christian Mina for hjelpen.
AppleMobileFileIntegrity
Vi vil gjerne takke Wojciech Reguła (@_r3ggi) fra SecuRing (wojciechregula.blog) for hjelpen.
CoreServices
Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.
NSOpenPanel
Vi vil gjerne takke Alexandre Colucci (@timacfr) for hjelpen.
Wi-Fi
Vi vil gjerne takke en anonym forsker for hjelpen.