Zawartość związana z zabezpieczeniami w systemie macOS Monterey 12.6.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Monterey 12.6.3.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Monterey 12.6.3

Wydano 23 stycznia 2023 r.

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten problem naprawiono przez włączenie wzmocnionego środowiska wykonawczego.

CVE-2023-23499: Wojciech Reguła (@_r3ggi) z SecuRing (wojciechregula.blog)

curl

Dostępne dla: systemu macOS Monterey

Zagrożenie: wiele błędów w komponentach curl.

Opis: naprawiono liczne błędy przez uaktualnienie biblioteki curl do wersji 7.86.0.

CVE-2022-42915

CVE-2022-42916

CVE-2022-32221

CVE-2022-35260

curl

Dostępne dla: systemu macOS Monterey

Zagrożenie: wiele błędów w komponentach curl.

Opis: naprawiono liczne błędy przez uaktualnienie biblioteki curl do wersji 7.85.0.

CVE-2022-35252

dcerpc

Dostępne dla: systemu macOS Monterey

Zagrożenie: zamontowanie złośliwie spreparowanego udziału sieciowego Samba może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2023-23513: Dimitrios Tatsis i Aleksandar Nikolic z Cisco Talos

DiskArbitration

Dostępne dla: systemu macOS Monterey

Zagrożenie: zaszyfrowany wolumin może zostać odmontowany i zamontowany ponownie przez innego użytkownika bez monitu o podanie hasła.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2023-23493: Oliver Norpoth (@norpoth) z KLIXX GmbH (klixx.com)

DriverKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.

CVE-2022-32915: Tommy Muir (@Muirey03)

Intel Graphics Driver

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2023-23507: anonimowy badacz

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-23516: Jordy Zomer (@pwningsystems)

Wpis dodano 11 maja 2023 r.

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-23504: Adam Doupé z ASU SEFCOM

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: usunięto błąd powodujący ujawnianie informacji przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) z STAR Labs SG Pte. Ltd. (@starlabs_sg)

Mail

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do folderu z załącznikami do wiadomości e-mai, używając folderu tymczasowego potrzebnego podczas kompresji.

Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) z SecuRing

Wpis dodano 11 maja 2023 r.

PackageKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2023-23497: Mickey Jin (@patch1t)

Screen Time

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do informacji o kontaktach użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2023-23505: Wojciech Regula z SecuRing (wojciechregula.blog) i Csaba Fitzl (@theevilbit) z Offensive Security

Wpis uaktualniono 11 maja 2023 r.

TCC

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2023-27931: Mickey Jin (@patch1t)

Wpis dodano 11 maja 2023 r.

Weather

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-23511: Wojciech Regula z SecuRing (wojciechregula.blog), anonimowy badacz

WebKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 248268

CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) z Team ApplePIE

WebKit Bugzilla: 248268

CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) z Team ApplePIE

Windows Installer

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-23508: Mickey Jin (@patch1t)

Dodatkowe podziękowania

Kernel

Dziękujemy za udzieloną pomoc: Nick Stenning z Replicate.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: