Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
macOS Monterey 12.7.1
Wydano 25 października 2023 r.
Automation
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja z uprawnieniami administratora może uzyskać dostęp do prywatnych informacji.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-42952: Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com)
Wpis dodano 16 lutego 2024 r.
CoreAnimation
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-40449: Tomi Tokics (@tomitokics) z iTomsn0w
Core Recents
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez wyczyszczenie rejestru
CVE-2023-42823
Wpis dodano 16 lutego 2024 r.
FileProvider
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi” na klientów zabezpieczeń punktów końcowych.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2023-42854: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Find My
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2023-40413: Adam M.
Foundation
Dostępne dla: systemu macOS Monterey
Zagrożenie: witryna może być w stanie uzyskać dostęp do poufnych danych użytkownika podczas rozwiązywania łączy symbolicznych.
Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.
CVE-2023-42844: Ron Masas z BreakPoint.SH
libc
Dostępne dla: systemu macOS Monterey
Zagrożenie: przetwarzanie złośliwie spreparowanego wejścia mogło spowodować wykonanie dowolnego kodu w aplikacjach zainstalowanych przez użytkownika.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-40446: inooo
Wpis dodano 3 listopada 2023 r.
ImageIO
Dostępne dla: systemu macOS Monterey
Zagrożenie: przetworzenie obrazu może doprowadzić do ujawnienia pamięci procesowej.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-40423: anonimowy badacz
Kernel
Dostępne dla: systemu macOS Monterey
Zagrożenie: osoba atakująca, która zaimplementowała już wykonywanie kodu jądra, może być w stanie ominąć środki ograniczające pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-42849: Linus Henze z Pinauten GmbH (pinauten.de)
Model I/O
Dostępne dla: systemu macOS Monterey
Zagrożenie: przetworzenie pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-42856: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro
PackageKit
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) i Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Wpis dodano 16 lutego 2024 r.
PackageKit
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-42840: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) z Offensive Security
Wpis dodano 16 lutego 2024 r.
PackageKit
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie ominąć niektóre preferencje dotyczące prywatności.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-42889: Mickey Jin (@patch1t)
Wpis dodano 16 lutego 2024 r.
PackageKit
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2023-42853: Mickey Jin (@patch1t)
Wpis dodano 16 lutego 2024 r.
PackageKit
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) z FFRI Security, Inc.
Wpis dodano 16 lutego 2024 r.
Pro Res
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong z 360 Vulnerability Research Institute
Wpis dodano 16 lutego 2024 r.
Sandbox
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja z uprawnieniami administratora może uzyskać dostęp do prywatnych informacji.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-40425: Csaba Fitzl (@theevilbit) z Offensive Security
SQLite
Dostępne dla: systemu macOS Monterey
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2023-36191
Wpis dodano 16 lutego 2024 r.
talagent
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2023-40421: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
WindowServer
Dostępne dla: systemu macOS Monterey
Zagrożenie: witryna internetowa może uzyskać dostęp do mikrofonu bez wyświetlania wskaźnika użycia mikrofonu.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2023-41975: anonimowy badacz
WindowServer
Dostępne dla: systemu macOS Monterey
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-42858: anonimowy badacz
Wpis dodano 16 lutego 2024 r.
Dodatkowe podziękowania
GPU Drivers
Dziękujemy anonimowemu badaczowi za pomoc.
libarchive
Dziękujemy za udzieloną pomoc: Bahaa Naamneh.
libxml2
Dziękujemy za udzieloną pomoc: OSS-Fuzz, Ned Williamson z Google Project Zero.