Despre conținutul de securitate din macOS Monterey 12.6.8
Acest document descrie conținutul de securitate din macOS Monterey 12.6.8.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Monterey 12.6.8
Publicat pe 24 iulie 2023
Accessibility
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-40442: Nick Brook
Adăugare intrare: 8 septembrie 2023
Apple Neural Engine
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-34425: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Adăugare intrare: 27 iulie 2023
AppSandbox
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Adăugare intrare: 27 iulie 2023
Assets
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-40392: Wojciech Regula de la SecuRing (wojciechregula.blog)
Adăugare intrare: 8 septembrie 2023
CUPS
Disponibilitate pentru: macOS Monterey
Impact: un utilizator cu poziție privilegiată în rețea poate scurge informații sensibile
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-34241: Sei K.
Adăugare intrare: 27 iulie 2023
curl
Disponibilitate pentru: macOS Monterey
Impact: mai multe probleme în curl
Descriere: mai multe probleme au fost rezolvate prin actualizarea curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2023-32416: Wojciech Regula de la SecuRing (wojciechregula.blog)
FontParser
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier de font poate cauza executarea unui cod arbitrar. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată în mod activ împotriva versiunilor de iOS lansate înainte de iOS 15.7.1.
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) și Boris Larin (@oct0xor) (Kaspersky)
Adăugare intrare: 8 septembrie 2023
Grapher
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-36854: Bool de la YunShangHuaAn(云上华ध)
CVE-2023-32418: Bool de la YunShangHuaAn(云上华ध)
Kernel
Disponibilitate pentru: macOS Monterey
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-38603: Zweig de la Kunlun Lab
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: un utilizator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2023-38590: Zweig de la Kunlun Lab
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2023-36495: 香农的三蹦子 (Pangu Lab)
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2023-38604: un cercetător anonim
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-32381: un cercetător anonim
CVE-2023-32433: Zweig de la Kunlun Lab
CVE-2023-35993: Kaitao Xie și Xiaolong Bai (Alibaba Group)
Kernel
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată modifica informații sensibile privind starea kernelului. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată în mod activ împotriva versiunilor de iOS lansate înainte de iOS 15.7.1.
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) și Boris Larin (@oct0xor) de la Kaspersky
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) de la STAR Labs SG Pte. Ltd.
Kernel
Disponibilitate pentru: macOS Monterey
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-38603: Zweig de la Kunlun Lab
Adăugare intrare: 22 decembrie 2023
libxpc
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2023-38565: Zhipeng Huo (@R3dF09) de la Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-38593: Noah Roskin-Frazee
Disponibilitate pentru: macOS Monterey
Impact: un e-mail criptat S/MIME poate fi trimis din greșeală necriptat
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării e-mailurilor criptate S/MIME.
CVE-2023-40440: Taavi Eomäe (Zone Media OÜ)
Adăugare intrare: 8 septembrie 2023
Music
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Adăugare intrare: 27 iulie 2023
Model I/O
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui model 3D poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-38421: Mickey Jin (@patch1t) și Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
CVE-2023-38258: Mickey Jin (@patch1t)
Actualizare intrare: 27 iulie 2023
Model I/O
Disponibilitate pentru: macOS Monterey
Impact: procesarea unei imagini poate cauza divulgarea memoriei de proces
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2023-1916
Adăugare intrare: 22 decembrie 2023
ncurses
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate cauza închiderea neașteptată a aplicației sau executarea arbitrară a codului
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2023-29491: Jonathan Bar Or (Microsoft), Emanuele Cozzi (Microsoft) și Michael Pearse (Microsoft)
Adăugare intrare: 8 septembrie 2023
Net-SNMP
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-38601: Csaba Fitzl (@theevilbit) de la Offensive Security
Adăugare intrare: 27 iulie 2023
NSSpellChecker
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2023-32444: Mickey Jin (@patch1t)
Adăugare intrare: 27 iulie 2023
OpenLDAP
Disponibilitate pentru: macOS Monterey
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-2953: Sandipan Roy
OpenSSH
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa parolele de acces SSH
Descriere: problema a fost rezolvată prin restricții suplimentare privind observabilitatea stărilor aplicațiilor.
CVE-2023-42829: James Duffy (mangoSecure)
Adăugare intrare: 22 decembrie 2023
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Securitate
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată amprenta utilizatorul
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-42831: James Duffy (mangoSecure)
Adăugare intrare: 22 decembrie 2023
Shortcuts
Disponibilitate pentru: macOS Monterey
Impact: o comandă rapidă poate să modifice configurările sensibile ale aplicației Comenzi rapide
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.
CVE-2023-32442: un cercetător anonim
sips
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2023-32443: David Hoyt (Hoyt LLC)
Software Update
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Adăugare intrare: 22 decembrie 2023
SQLite
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost abordată prin adăugarea de restricții suplimentare de înregistrare în SQLite
CVE-2023-32422: Gergely Kalman (@gergely_kalman) și Wojciech Regula de la SecuRing (wojciechregula.blog)
Adăugare intrare: 8 septembrie 2023
SystemMigration
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-32429: Wenchao Li și Xiaolong Bai de la Hangzhou Orange Shield Information Technology Co., Ltd.
Adăugare intrare: 27 iulie 2023
tcpdump
Disponibilitate pentru: macOS Monterey
Impact: un atacator cu poziție privilegiată în rețea poate executa un cod arbitrar
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2023-1801
Adăugare intrare: 22 decembrie 2023
Vim
Disponibilitate pentru: macOS Monterey
Impact: probleme multiple în Vim
Descriere: mai multe probleme au fost rezolvate prin actualizarea Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Adăugare intrare: 22 decembrie 2023
Weather
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate determina locația curentă a unui utilizator
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-38605: Adam M.
Adăugare intrare: 8 septembrie 2023
Alte mențiuni
Dorim să îi mulțumim lui Parvez Anwar pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.