Zawartość związana z zabezpieczeniami w systemie macOS Monterey 12.6.8
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Monterey 12.6.8.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
macOS Monterey 12.6.8
Wydano 24 lipca 2023 r.
Accessibility
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-40442: Nick Brook
Wpis dodano 8 września 2023 r.
Apple Neural Engine
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-34425: pattern-f (@pattern_F_) z Ant Security Light-Year Lab
Wpis dodano 27 lipca 2023 r.
AppSandbox
Dostępne dla: systemu macOS Monterey
Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Wpis dodano 27 lipca 2023 r.
Assets
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: ten błąd naprawiono przez ulepszenie ochrony danych.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-40392: Wojciech Reguła z SecuRing (wojciechregula.blog)
Wpis dodano 8 września 2023 r.
CUPS
Dostępne dla: systemu macOS Monterey
Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie ujawnić poufne informacje.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2023-34241: Sei K.
Wpis dodano 27 lipca 2023 r.
curl
Dostępne dla: systemu macOS Monterey
Zagrożenie: wiele błędów w komponentach curl.
Opis: naprawiono liczne błędy przez uaktualnienie komponentów curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2023-32416: Wojciech Reguła z SecuRing (wojciechregula.blog)
FontParser
Dostępne dla: systemu macOS Monterey
Zagrożenie: przetworzenie Pliku czcionki może doprowadzić do wykonania dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.7.1.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) z Kaspersky
Wpis dodano 8 września 2023 r.
Grapher
Dostępne dla: systemu macOS Monterey
Zagrożenie: przetworzenie pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-36854: Bool z YunShangHuaAn(云上华安)
CVE-2023-32418: Bool z YunShangHuaAn(云上华安)
Kernel
Dostępne dla: systemu macOS Monterey
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-38603: Zweig z Kunlun Lab
Wpis dodano 27 lipca 2023 r.
Kernel
Dostępne dla: systemu macOS Monterey
Zagrożenie: użytkownik zdalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2023-38590: Zweig z Kunlun Lab
Wpis dodano 27 lipca 2023 r.
Kernel
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Wpis dodano 27 lipca 2023 r.
Kernel
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-36495: 香农的三蹦子 z Pangu Lab
Wpis dodano 27 lipca 2023 r.
Kernel
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Wpis dodano 27 lipca 2023 r.
Kernel
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-38604: anonimowy badacz
Wpis dodano 27 lipca 2023 r.
Kernel
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
CVE-2023-32381: anonimowy badacz
CVE-2023-32433: Zweig z Kunlun Lab
CVE-2023-35993: Kaitao Xie i Xiaolong Bai z Alibaba Group
Kernel
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie zmodyfikować poufny stan jądra. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.7.1.
Opis: ten problem naprawiono przez poprawienie zarządzania stanem.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) z Kaspersky
Kernel
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) ze STAR Labs SG Pte. Ltd.
Kernel
Dostępne dla: systemu macOS Monterey
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-38603: Zweig z Kunlun Lab
Wpis dodano 22 grudnia 2023 r.
libxpc
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2023-38565: Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2023-38593: Noah Roskin-Frazee
Dostępne dla: systemu macOS Monterey
Zagrożenie: wiadomość e-mail zaszyfrowana za pomocą standardu S/MIME może zostać nieumyślnie wysłana niezaszyfrowana.
Opis: ten błąd naprawiono przez poprawienie zarządzania stanem wiadomości e-mail zaszyfrowanych za pomocą standardu S/MIME.
CVE-2023-40440: Taavi Eomäe z Zone Media OÜ
Wpis dodano 8 września 2023 r.
Music
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Wpis dodano 27 lipca 2023 r.
Model I/O
Dostępne dla: systemu macOS Monterey
Zagrożenie: przetworzenie modelu 3D może doprowadzić do ujawnienia pamięci procesowej.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-38421: Mickey Jin (@patch1t) i Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2023-38258: Mickey Jin (@patch1t)
Wpis uaktualniono 27 lipca 2023 r.
Model I/O
Dostępne dla: systemu macOS Monterey
Zagrożenie: przetworzenie obrazu może doprowadzić do ujawnienia pamięci procesowej.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2023-1916
Wpis dodano 22 grudnia 2023 r.
ncurses
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2023-29491: Jonathan Bar Or z Microsoft, Emanuele Cozzi z Microsoft i Michael Pearse z Microsoft
Wpis dodano 8 września 2023 r.
Net-SNMP
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2023-38601: Csaba Fitzl (@theevilbit) z Offensive Security
Wpis dodano 27 lipca 2023 r.
NSSpellChecker
Dostępne dla: systemu macOS Monterey
Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2023-32444: Mickey Jin (@patch1t)
Wpis dodano 27 lipca 2023 r.
OpenLDAP
Dostępne dla: systemu macOS Monterey
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-2953: Sandipan Roy
OpenSSH
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do kodów do SSH.
Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących obserwowalności stanów aplikacji.
CVE-2023-42829: James Duffy (mangoSecure)
Wpis dodano 22 grudnia 2023 r.
PackageKit
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2023-42831: James Duffy (mangoSecure)
Wpis dodano 22 grudnia 2023 r.
Shortcuts
Dostępne dla: systemu macOS Monterey
Zagrożenie: skrót może być w stanie zmodyfikować poufne ustawienia aplikacji Skróty.
Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.
CVE-2023-32442: anonimowy badacz
sips
Dostępne dla: systemu macOS Monterey
Zagrożenie: przetworzenie pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-32443: David Hoyt z Hoyt LLC
Software Update
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Wpis dodano 22 grudnia 2023 r.
SQLite
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd rozwiązano przez dodanie dodatkowych ograniczeń dotyczących rejestrowania danych w dziennikach SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) i Wojciech Reguła z SecuRing (wojciechregula.blog)
Wpis dodano 8 września 2023 r.
SystemMigration
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-32429: Wenchao Li i Xiaolong Bai z Hangzhou Orange Shield Information Technology Co., Ltd.
Wpis dodano 27 lipca 2023 r.
tcpdump
Dostępne dla: systemu macOS Monterey
Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-1801
Wpis dodano 22 grudnia 2023 r.
Vim
Dostępne dla: systemu macOS Monterey
Zagrożenie: liczne błędy w aplikacji Vim.
Opis: naprawiono liczne błędy przez uaktualnienie oprogramowania Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Wpis dodano 22 grudnia 2023 r.
Weather
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie określić bieżącą lokalizację użytkownika.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2023-38605: Adam M.
Wpis dodano 8 września 2023 r.
Dodatkowe podziękowania
Dziękujemy za udzieloną pomoc: Parvez Anwar.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.