Om sikkerhetsinnholdet i macOS Monterey 12.7.6
Dette dokumentet beskriver sikkerhetsinnholdet i macOS Monterey 12.7.6.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Monterey 12.7.6
Utgitt 29. juli 2024
APFS
Tilgjengelig for: macOS Monterey
Virkning: Et skadelig program kan omgå personverninnstillinger
Beskrivelse: Problemet ble løst med forbedret begrensning av tilgang til databeholder.
CVE-2024-40783: Csaba Fitzl (@theevilbit) fra Kandji
Apple Neural Engine
Tilgjengelig for: macOS Monterey
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-27826: Minghao Lin og Ye Zhang (@VAR10CK) fra Baidu Security
AppleMobileFileIntegrity
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Et problem med nedgradering ble løst gjennom ekstra kodesigneringsrestriksjoner.
CVE-2024-40775: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Et problem med nedgradering ble løst gjennom ekstra kodesigneringsrestriksjoner.
CVE-2024-40774: Mickey Jin (@patch1t)
AppleVA
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig fil kan føre til tjenestenekt eller potensiell avsløring av minneinnhold
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-27877: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
CoreGraphics
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig fil kan føre til uventet avslutning av en app
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2024-40799: D4m0n
CoreMedia
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig videofil kan føre til uventet avslutning av et program
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2024-27873: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations
curl
Tilgjengelig for: macOS Monterey
Virkning: Flere problemer i curl
Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tilordnet av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å overskrive vilkårlige filer
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-40827: en anonym forsker
Disk Management
Tilgjengelig for: macOS Monterey
Virkning: En skadelig app kan få rotrettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-40828: Mickey Jin (@patch1t)
ImageIO
Tilgjengelig for: macOS Monterey
Virkning: Behandling av et bilde kan føre til tjenestenekt
Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tilordnet av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig fil kan føre til uventet avslutning av en app
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2024-40806: Yisumi
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En lokal angriper kan være i stand til å forårsake uventet systemavslutning
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2024-40816: sqrtpwn
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En lokal angriper kan være i stand til å forårsake uventet systemavslutning
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University
Keychain Access
Tilgjengelig for: macOS Monterey
Virkning: En lokal angriper kan være i stand til å forårsake uventet programavslutning
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.
CVE-2024-40803: Patrick Wardle fra DoubleYou & the Objective-See Foundation
NetworkExtension
Tilgjengelig for: macOS Monterey
Virkning: Privat nettlesing kan lekke deler av nettleserloggen
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2024-40796: Adam M.
OpenSSH
Tilgjengelig for: macOS Monterey
Virkning: En ekstern angriper kan være i stand til å starte utilsiktet kodekjøring
Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tilordnet av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.
CVE-2024-6387
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-40823: Zhongquan Li (@Guluisacat) fra Dawn Security Lab of JingDong
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit) fra Kandji og Mickey Jin (@patch1t)
Restore Framework
Tilgjengelig for: macOS Monterey
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.
CVE-2024-40800: Claudio Bozzato og Francesco Benvenuto fra Cisco Talos
RTKit
Tilgjengelig for: macOS Monterey
Virkning: En angriper med muligheter for utilsiktet lesing og skriving til kjernen kan forbigå beskyttelser av kjerneminnet. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet.
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2024-23296
Safari
Tilgjengelig for: macOS Monterey
Virkning: Besøk på et nettsted som skjuler skadelig innhold, kan føre til UI-forfalskning
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av grensesnittet.
CVE-2024-40817: Yadhu Krishna M og Narendra Bhati, Manager of Cyber Security hos Suma Soft Pvt. Ltd, Pune (India)
Scripting Bridge
Tilgjengelig for: macOS Monterey
Virkning: En app kan få tilgang til informasjon om en brukers kontakter
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2024-27881: Kirin (@Pwnrin)
Security
Tilgjengelig for: macOS Monterey
Virkning: Apputvidelser fra tredjeparter får ikke nødvendigvis de riktige sandkassebegrensningene
Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.
CVE-2024-40821: Joshua Jones
Security
Tilgjengelig for: macOS Monterey
Virkning: Et program kan være i stand til å lese nettleserloggen til Safari
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2024-40798: Adam M.
Shortcuts
Tilgjengelig for: macOS Monterey
Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2024-40833: en anonym forsker
CVE-2024-40835: en anonym forsker
CVE-2024-40807: en anonym forsker
Shortcuts
Tilgjengelig for: macOS Monterey
Virkning: En snarvei kan omgå sensitive innstillinger for Snarveier-programmet
Beskrivelse: Dette problemet ble løst ved å legge inn en ekstra forespørsel om brukersamtykke.
CVE-2024-40834: Marcio Almeida fra Tanto Security
Shortcuts
Tilgjengelig for: macOS Monterey
Virkning: En snarvei kan være i stand til å forbigå krav om internett-tillatelse
Beskrivelse: Dette problemet ble løst ved å legge inn en ekstra forespørsel om brukersamtykke.
CVE-2024-40787: en anonym forsker
Shortcuts
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Tilgjengelig for: macOS Monterey
Virkning: En snarvei kan være i stand til å forbigå krav om internett-tillatelse
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2024-40809: en anonym forsker
CVE-2024-40812: en anonym forsker
Time Zone
Tilgjengelig for: macOS Monterey
Virkning: En angriper kan lese informasjon som hører til en annen bruker
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2024-23261: Matthew Loewen
Ytterligere anerkjennelser
Image Capture
Vi vil gjerne takke en anonym forsker for hjelpen.
Shortcuts
Vi vil gjerne takke en anonym forsker for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.