Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.
Mer informasjon finnes på denne siden for Apple-produktsikkerhet.
macOS Monterey 12.7.4
Utgitt 7. mars 2024
Admin Framework
Tilgjengelig for: macOS Monterey
Virkning: En app kan utvide rettigheter
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2024-23276: Kirin (@Pwnrin)
AirPort
Tilgjengelig for: macOS Monterey
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Tilgjengelig for: macOS Monterey
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et nedgraderingsproblem som påvirket Intel-baserte Macer, ble løst med ytterligere begrensninger for kodesignering.
CVE-2024-23269: Mickey Jin (@patch1t)
ColorSync
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en fil kan føre til uventet appavslutning eller utilsiktet kodekjøring
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-23247: m4yfly sammen med TianGong Team ved Legendsec hos Qi'anxin Group
CoreCrypto
Tilgjengelig for: macOS Monterey
Virkning: En angriper kan dekryptere tekst som bruker eldre RSA PKCS#1 v1.5-kryptering, uten den private nøkkelen
Beskrivelse: Et timingsidekanal-problem løst gjennom forbedringer for konstant tidsberegning i kryptografiske funksjoner.
CVE-2024-23218: Clemens Lang
Disk Images
Tilgjengelig for: macOS Monterey
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-23299: en anonym forsker
Oppføring lagt til 29. mai 2024
Dock
Tilgjengelig for: macOS Monterey
Virkning: En app fra en standard brukerkonto kan eskalere tillatelser etter pålogging som administratorbruker
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2024-23244: Csaba Fitzl (@theevilbit) fra OffSec
Image Processing
Tilgjengelig for: macOS Monterey
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-23270: en anonym forsker
ImageIO
Tilgjengelig for: macOS Monterey
Virkning: Behandling av et bilde kan føre til utilsiktet kodekjøring
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2024-23286: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative, Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) og Lyutoon og Mr.R
Oppføring oppdatert 29. mai 2024
ImageIO
Tilgjengelig for: macOS Monterey
Virkning: Behandling av bilder kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-23257: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative
Intel Graphics Driver
Tilgjengelig for: macOS Monterey
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Tilgjengelig for: macOS Monterey
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En app kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.
CVE-2024-23265: Xinru Chi fra Pangu Lab
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En angriper med muligheter for utilsiktet lesing og skriving til kjernen kan forbigå beskyttelser av kjerneminnet. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet.
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2024-23225
libxpc
Tilgjengelig for: macOS Monterey
Virkning: En app kan forårsake tjenestenekt
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2024-23201: Koh M. Nakagawa fra FFRI Security, Inc. og en anonym forsker
MediaRemote
Tilgjengelig for: macOS Monterey
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-28826: Meng Zhang (鲸落) fra NorthSea
Metal
Tilgjengelig for: macOS Monterey
Virkning: En app kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm i samarbeid med Trend Micro Zero Day Initiative
Notes
Tilgjengelig for: macOS Monterey
Virkning: En app kan få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2024-23283
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan utvide rettigheter
Beskrivelse: Et injeksjonsproblem ble løst gjennom forbedret validering av inndata.
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
CVE-2024-23268: Mickey Jin (@patch1t) og Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan få tilgang til beskyttede brukerdata
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2024-23275: Mickey Jin (@patch1t)
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan omgå enkelte personvernpreferanser
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan utilsiktet overskrive filer
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
SharedFileList
Tilgjengelig for: macOS Monterey
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst gjennom forbedret filhåndtering.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Tilgjengelig for: macOS Monterey
Virkning: En snarvei kan bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren
Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Tilgjengelig for: macOS Monterey
Virkning: Snarveier fra tredjeparter kan bruke en eldre handling fra Automator til å sende hendelser til apper uten brukersamtykke
Beskrivelse: Dette problemet ble løst ved å legge inn en ekstra forespørsel om brukersamtykke.
CVE-2024-23245: en anonym forsker
Storage Services
Tilgjengelig for: macOS Monterey
Virkning: En bruker kan få tilgang til beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2024-23272: Mickey Jin (@patch1t)
Transparens
Tilgjengelig for: macOS Monterey
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst med forbedret begrensning av tilgang til databeholder.
CVE-2023-40389: Csaba Fitzl (@theevilbit) hos Offensive Security og Joshua Jewett (@JoshJewett33)
Oppføring lagt til 29. mai 2024