Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Monterey 12.7.1
Utgitt 25. oktober 2023
Automation
Tilgjengelig for: macOS Monterey
Virkning: Apper med rotrettigheter kan få tilgang til privat informasjon
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42952: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Oppføring lagt til 16. februar 2024
CoreAnimation
Tilgjengelig for: macOS Monterey
Virkning: Et program kan være i stand til å forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-40449: Tomi Tokics (@tomitokics) fra iTomsn0w
Core Recents
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst ved å rense loggføringen
CVE-2023-42823
Oppføring lagt til 16. februar 2024
FileProvider
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å forårsake tjenestenekt for Endpoint Security-klienter
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2023-42854: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)
Find My
Tilgjengelig for: macOS Monterey
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.
CVE-2023-40413: Adam M.
Foundation
Tilgjengelig for: macOS Monterey
Virkning: Et nettsted kan få tilgang til sensitive brukerdata ved løsing av symlinks
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.
CVE-2023-42844: Ron Masas fra BreakPoint.sh
libc
Tilgjengelig for: macOS Monterey
Virkning: Behandling av skadelige inndata kan føre til vilkårlig kodekjøring i brukerinstallerte apper
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-40446: inooo
Oppføring lagt til 3. november 2023
ImageIO
Tilgjengelig for: macOS Monterey
Virkning: Behandling av bilder kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Tilgjengelig for: macOS Monterey
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-40423: en anonym forsker
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan være i stand til å forbigå skadebegrensende tiltak for kjerneminnet
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-42849: Linus Henze fra Pinauten GmbH (pinauten.de)
Model I/O
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-42856: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) og Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Oppføring lagt til 16. februar 2024
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42840: Mickey Jin (@patch1t) og Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring lagt til 16. februar 2024
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: Et program kan være i stand til å omgå enkelte personvernpreferanser
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42889: Mickey Jin (@patch1t)
Oppføring lagt til 16. februar 2024
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-42853: Mickey Jin (@patch1t)
Oppføring lagt til 16. februar 2024
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) fra FFRI Security, Inc.
Oppføring lagt til 16. februar 2024
Pro Res
Tilgjengelig for: macOS Monterey
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) og happybabywu og Guang Gong fra 360 Vulnerability Research Institute
Oppføring lagt til 16. februar 2024
Sandbox
Tilgjengelig for: macOS Monterey
Virkning: Apper med rotrettigheter kan få tilgang til privat informasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-40425: Csaba Fitzl (@theevilbit) fra Offensive Security
SQLite
Tilgjengelig for: macOS Monterey
Virkning: En ekstern bruker kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-36191
Oppføring lagt til 16. februar 2024
talagent
Tilgjengelig for: macOS Monterey
Virkning: Et program kan få tilgang til sensitive brukerdata
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2023-40421: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)
WindowServer
Tilgjengelig for: macOS Monterey
Virkning: Et nettsted kan få tilgang til mikrofonen uten at indikatoren for mikrofonbruk vises
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2023-41975: en anonym forsker
WindowServer
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-42858: en anonym forsker
Oppføring lagt til 16. februar 2024
Ytterligere anerkjennelser
GPU Drivers
Vi vil gjerne takke en anonym forsker for hjelpen.
libarchive
Vi vil gjerne takke Bahaa Naamneh for hjelpen.
libxml2
Vi vil gjerne takke OSS-Fuzz, Ned Williamson fra Google Project Zero for hjelpen.