Zawartość związana z zabezpieczeniami w systemie macOS Monterey 12.7

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Monterey 12.7.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Monterey 12.7

Wydano 21 września 2023 r.

Apple Neural Engine

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) z Baidu Security

Wpis dodano 26 września 2023 r.

Apple Neural Engine

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-40410: Tim Michaud (@TimGMichaud) z Moveworks.ai

Wpis dodano 26 września 2023 r.

Ask to Buy

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-38612: Chris Ross (Zoom)

Wpis dodano 22 grudnia 2023 r.

Biometric Authentication

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2023-41232: Liang Wei z PixiePoint Security

Wpis dodano 26 września 2023 r.

ColorSync

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie odczytywać arbitralnie wybrane pliki.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-40406: JeongOhKyea z Theori

Wpis dodano 26 września 2023 r.

CoreAnimation

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-40420: 이준성(Junsung Lee) z Cross Republic

Wpis dodano 26 września 2023 r.

Zarządzanie dyskami

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie odczytywać arbitralnie wybrane pliki.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2023-41968: Mickey Jin (@patch1t) i James Hutchins

Wpis dodano 26 września 2023 r.

Game Center

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może mieć dostęp do kontaktów.

Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.

CVE-2023-40395: Csaba Fitzl (@theevilbit) z Offensive Security

Wpis dodano 26 września 2023 r.

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.

Wpis dodano 26 września 2023 r.

Kernel

Dostępne dla: systemu macOS Monterey

Impact: A local attacker may be able to elevate their privileges. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 16.7.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-41992: Bill Marczak z Citizen Lab z siedzibą w Munk School działającej w ramach Uniwersytetu Toronto i Maddie Stone z Threat Analysis Group firmy Google

libxpc

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2023-41073: Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com)

Wpis dodano 26 września 2023 r.

libxpc

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może móc usunąć pliki, do których nie ma uprawnień.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2023-40454: Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com)

Wpis dodano 26 września 2023 r.

libxslt

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie zawartości internetowej może ujawnić poufne informacje.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) z PK Security

Wpis dodano 26 września 2023 r.

Maps

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.

CVE-2023-40427: Adam M. i Wojciech Reguła z SecuRing (wojciechregula.blog)

Wpis dodano 26 września 2023 r.

Sandbox

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie nadpisywać arbitralnie wybrane pliki.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Wpis dodano 26 września 2023 r.

Dodatkowe podziękowania

Apple Neural Engine

Dziękujemy za udzieloną pomoc: pattern-f (@pattern_F_) z Ant Security Light-Year Lab.

Wpis dodano 22 grudnia 2023 r.

AppSandbox

Dziękujemy za udzieloną pomoc: Kirin (@Pwnrin).

Wpis dodano 26 września 2023 r.

Kernel

Dziękujemy za udzieloną pomoc: Bill Marczak z The Citizen Lab z siedzibą w Munk School działającej w ramach Uniwersytetu Toronto i Maddie Stone z Threat Analysis Group firmy Google.

libxml2

Dziękujemy za udzieloną pomoc: OSS-Fuzz i Ned Williamson z Google Project Zero.

Wpis dodano 26 września 2023 r.

WebKit

Dziękujemy za udzieloną pomoc: Khiem Tran, Narendra Bhati z Suma Soft Pvt. Ltd. w Pune (Indie).

Wpis dodano 26 września 2023 r.

WebRTC

Dziękujemy anonimowemu badaczowi za pomoc.

Wpis dodano 26 września 2023 r.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: