Despre conținutul de securitate din macOS Monterey 12.7

Acest document descrie conținutul de securitate din macOS Monterey 12.7.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

macOS Monterey 12.7

Apple Neural Engine

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) (Baidu Security)

Apple Neural Engine

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2023-40410: Tim Michaud (@TimGMichaud) (Moveworks.ai)

Ask to Buy

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-38612: Chris Ross (Zoom)

Biometric Authentication

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2023-41232: Liang Wei (PixiePoint Security)

ColorSync

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate citi fișiere arbitrare

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-40406: JeongOhKyea (Theori)

CoreAnimation

Disponibilitate pentru: macOS Monterey

Impact: procesarea unui conținut web poate cauza o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40420: 이준성(Junsung Lee) (Cross Republic)

Disk Management

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate citi fișiere arbitrare

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2023-41968: Mickey Jin (@patch1t) și James Hutchins

Game Center

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca o aplicație să poată accesa contactele

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-40395: Csaba Fitzl (@theevilbit) de la Offensive Security

Kernel

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd.

Kernel

Disponibilitate pentru: macOS Monterey

Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ în raport cu versiunile de iOS lansate înainte de versiunea iOS 16.7.

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-41992: Bill Marczak (The Citizen Lab, Munk School din cadrul Universității din Toronto) și Maddie Stone (Threat Analysis Group din cadrul Google)

libxpc

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2023-41073: Zhipeng Huo (@R3dF09) (Laboratorul Tencent Security Xuanwu) (xlab.tencent.com)

libxpc

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate șterge fișiere pentru care nu are permisiune

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-40454: Zhipeng Huo (@R3dF09) (Laboratorul Tencent Security Xuanwu) (xlab.tencent.com)

libxslt

Disponibilitate pentru: macOS Monterey

Impact: procesarea conținutului web poate divulga informații sensibile

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) (PK Security)

Maps

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-40427: Adam M. și Wojciech Regula (SecuRing) (wojciechregula.blog)

Sandbox

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate suprascrie fișiere arbitrare

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Alte mențiuni

Apple Neural Engine

Dorim să îi mulțumim lui pattern-f (@pattern_F_) (Ant Security Light-Year Lab) pentru asistență.

AppSandbox

Dorim să-i mulțumim lui Kirin (@Pwnrin) pentru asistența acordată.

Kernel

Dorim să le mulțumim lui Bill Marczak (The Citizen Lab, Munk School din cadrul Universității din Toronto) și Maddie Stone (Threat Analysis Group din cadrul Google) pentru asistența acordată.

libxml2

Dorim să le mulțumim lui OSS-Fuzz și lui Ned Williamson (Google Project Zero) pentru asistența acordată.

WebKit

Dorim să le mulțumim lui Khiem Tran și lui Narendra Bhati de la Suma Soft Pvt. Ltd, Pune (India) pentru asistența acordată.

WebRTC

Dorim să îi mulțumim unui cercetător anonim pentru asistență.