Zawartość związana z zabezpieczeniami w systemie macOS Monterey 12.6.8

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

Wydano 24 lipca 2023 r.

Accessibility

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2023-40442: Nick Brook

Wpis dodano 8 września 2023 r.

Apple Neural Engine

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-34425: pattern-f (@pattern_F_) z Ant Security Light-Year Lab

Wpis dodano 27 lipca 2023 r.

AppSandbox

Dostępne dla: systemu macOS Monterey

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2023-32364: Gergely Kalman (@gergely_kalman)

Wpis dodano 27 lipca 2023 r.

Assets

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez ulepszenie ochrony danych.

CVE-2023-35983: Mickey Jin (@patch1t)

CFNetwork

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2023-40392: Wojciech Reguła z SecuRing (wojciechregula.blog)

Wpis dodano 8 września 2023 r.

CUPS

Dostępne dla: systemu macOS Monterey

Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie ujawnić poufne informacje.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2023-34241: Sei K.

Wpis dodano 27 lipca 2023 r.

curl

Dostępne dla: systemu macOS Monterey

Zagrożenie: wiele błędów w komponentach curl.

Opis: naprawiono liczne błędy przez uaktualnienie komponentów curl.

CVE-2023-28319

CVE-2023-28320

CVE-2023-28321

CVE-2023-28322

Find My

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2023-32416: Wojciech Reguła z SecuRing (wojciechregula.blog)

FontParser

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie Pliku czcionki może doprowadzić do wykonania dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.7.1.

Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.

CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) z Kaspersky

Wpis dodano 8 września 2023 r.

Grapher

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-36854: Bool z YunShangHuaAn(云上华安)

CVE-2023-32418: Bool z YunShangHuaAn(云上华安)

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-38603: Zweig z Kunlun Lab

Wpis dodano 27 lipca 2023 r.

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: użytkownik zdalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2023-38590: Zweig z Kunlun Lab

Wpis dodano 27 lipca 2023 r.

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Wpis dodano 27 lipca 2023 r.

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-36495: 香农的三蹦子 z Pangu Lab

Wpis dodano 27 lipca 2023 r.

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2023-37285: Arsenii Kostromin (0x3c3e)

Wpis dodano 27 lipca 2023 r.

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-38604: anonimowy badacz

Wpis dodano 27 lipca 2023 r.

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2023-32381: anonimowy badacz

CVE-2023-32433: Zweig z Kunlun Lab

CVE-2023-35993: Kaitao Xie i Xiaolong Bai z Alibaba Group

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie zmodyfikować poufny stan jądra. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.7.1.

Opis: ten problem naprawiono przez poprawienie zarządzania stanem.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) z Kaspersky

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) ze STAR Labs SG Pte. Ltd.

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-38603: Zweig z Kunlun Lab

Wpis dodano 22 grudnia 2023 r.

libxpc

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2023-38565: Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2023-38593: Noah Roskin-Frazee

Mail

Dostępne dla: systemu macOS Monterey

Zagrożenie: wiadomość e-mail zaszyfrowana za pomocą standardu S/MIME może zostać nieumyślnie wysłana niezaszyfrowana.

Opis: ten błąd naprawiono przez poprawienie zarządzania stanem wiadomości e-mail zaszyfrowanych za pomocą standardu S/MIME.

CVE-2023-40440: Taavi Eomäe z Zone Media OÜ

Wpis dodano 8 września 2023 r.

Music

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2023-38571: Gergely Kalman (@gergely_kalman)

Wpis dodano 27 lipca 2023 r.

Model I/O

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie modelu 3D może doprowadzić do ujawnienia pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-38421: Mickey Jin (@patch1t) i Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2023-38258: Mickey Jin (@patch1t)

Wpis uaktualniono 27 lipca 2023 r.

Model I/O

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie obrazu może doprowadzić do ujawnienia pamięci procesowej.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2023-1916

Wpis dodano 22 grudnia 2023 r.

ncurses

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2023-29491: Jonathan Bar Or z Microsoft, Emanuele Cozzi z Microsoft i Michael Pearse z Microsoft

Wpis dodano 8 września 2023 r.

Net-SNMP

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2023-38601: Csaba Fitzl (@theevilbit) z Offensive Security

Wpis dodano 27 lipca 2023 r.

NSSpellChecker

Dostępne dla: systemu macOS Monterey

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2023-32444: Mickey Jin (@patch1t)

Wpis dodano 27 lipca 2023 r.

OpenLDAP

Dostępne dla: systemu macOS Monterey

Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-2953: Sandipan Roy

OpenSSH

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do kodów do SSH.

Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących obserwowalności stanów aplikacji.

CVE-2023-42829: James Duffy (mangoSecure)

Wpis dodano 22 grudnia 2023 r.

PackageKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2023-38259: Mickey Jin (@patch1t)

PackageKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2023-38602: Arsenii Kostromin (0x3c3e)

Security

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2023-42831: James Duffy (mangoSecure)

Wpis dodano 22 grudnia 2023 r.

Shortcuts

Dostępne dla: systemu macOS Monterey

Zagrożenie: skrót może być w stanie zmodyfikować poufne ustawienia aplikacji Skróty.

Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.

CVE-2023-32442: anonimowy badacz

sips

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-32443: David Hoyt z Hoyt LLC

Software Update

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.

CVE-2023-42832: Arsenii Kostromin (0x3c3e)

Wpis dodano 22 grudnia 2023 r.

SQLite

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.

Opis: ten błąd rozwiązano przez dodanie dodatkowych ograniczeń dotyczących rejestrowania danych w dziennikach SQLite.

CVE-2023-32422: Gergely Kalman (@gergely_kalman) i Wojciech Reguła z SecuRing (wojciechregula.blog)

Wpis dodano 8 września 2023 r.

SystemMigration

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-32429: Wenchao Li i Xiaolong Bai z Hangzhou Orange Shield Information Technology Co., Ltd.

Wpis dodano 27 lipca 2023 r.

tcpdump

Dostępne dla: systemu macOS Monterey

Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-1801

Wpis dodano 22 grudnia 2023 r.

Vim

Dostępne dla: systemu macOS Monterey

Zagrożenie: liczne błędy w aplikacji Vim.

Opis: naprawiono liczne błędy przez uaktualnienie oprogramowania Vim.

CVE-2023-2426

CVE-2023-2609

CVE-2023-2610

Wpis dodano 22 grudnia 2023 r.

Weather

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie określić bieżącą lokalizację użytkownika.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2023-38605: Adam M.

Wpis dodano 8 września 2023 r.

Mail

Dziękujemy za udzieloną pomoc: Parvez Anwar.